Posted in Tietoturva

Myös avoimen lähdekoodin ohjelmistoissa on tietoturva-aukkoja, tässä tärkeitä trendejä

Avoimen lähdekoodin ohjelmia pidetään tietoturvaltaan parempina kuin muita ohjelmistotuotteita. Kun ohjelman koodi laitetaan kaiken maailman katseltavaksi, ladattavaksi ja käytettäväksi, se todellakin on aika hyvä tapa löytää virheitä ja turva-aukkoja. Siitä ei kuitenkaan päästä mihinkään, että koodin kirjoittavat ihmiset, jotka väistämättä myös tekevät virheitä.

Avoimen lähdekoodin tuotteiden lisensoinnin hallintaan erikoistunut yritys Whitesource on koonnut raportin, jossa tarkastellaan ohjelmistojen haavoittuvuuden laajuutta ja minkälaisia ongelmat ovat.

Maaliskuussa 2020 uusia haavoittuvuuksia avoimessa lähdekoodissa oli 13% enemmän kuin helmikuussa 2020. Raportoituja ongelmia oli yhteensä 750 maaliskuussa Whitesourcen raportin mukaan. Luku ei välttämättä vaikuta kovin suurelta, mutta kun joka kuukausi uusia ongelmia ilmenee, ja kasvua niiden määrässä on, niin riskejä syntyy.

Jos laitetaan tuota ongelmien lukumäärää mittasuhteisiin, niin esimerkiksi suositussa avoimen lähdekoodin hallintapalvelussa Githubissa on kehitteillä yli 100 miljoonaa projektia. Tämän lisäksi koodia kehitetään muissa vastaavissa palveluissa ja yksittäisillä palvelimilla joka puolella maailmaa. Tähän suhteutettuna havaittujen ja raportoitujen ongelmien määrä on kenties liiankin alhainen.

Raportin mukaan haavoittuvuuksien riskitaso on pysynyt vakaana: 22% niistä on kriittisen riskitason ongelmia, 36% on korkealla riskitasolla, 41% keskitasolla ja 1% on matalalla riskitasolla.

whitesource open source security vulnerabilities report
Kaavio Whitesource-raportista April Open Source Security Vulnerabilities Snapshot.

Cross-site scripting on yleisin ongelma avoimen lähdekoodin ohjelmissa. Sille on olemassa virallinen luokitus nimeltään CWE-79 (täällä on luokituksen tarkka kuvaus). Se on suunnilleen kaksi kertaa yleisempi kuin kaksi seuraavaa ongelmaa CWE-200 and CWE-20, jotka kumpikin liittyvät käyttäjien kanssa tapahtuvaan kommunikaatioon.

Myös ohjelmointikielissä on eroja. Kun legendaarinen tietokoneyhtiö Sun esitteli uuden Java ohjelmointikielen reilusti yli 20 vuotta sitten, sen myyntivaltti oli tarjota ehdottoman tarkka tietoturva sovellusohjelmille. Tässä sitä ollaan: PHP, Java, Javascript ja C ovat neljä kieltä, joiden sovelluksista haavoittuvuuksia eniten löytyy. Todennäköisesti tällä on paljonkin tekemistä sen kanssa, että ne myös sattuvat olemaan suosituimmat ohjelmointikielet internetissä.

Whitesource kerää kuukausittaisen raporttinsa Open Source Security Vulnerabilities Snapshot pääasiassa NVD:n aineistosta ja myös osin muista lähteistä. NVD on Yhdysvaltain hallituksen alainen National Vulnerability Database, mutta se kerää dataa myös muualta, kuten Githubista.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *