Açık kaynaklı GitHub depolarında güvenlik açıkları ve keşfedilmemiş kusurlar bol miktarda bulunuyor ve bu kod tabanlarına güvenen kuruluşlar üzerinde yüksek risk ve potansiyel risk oluşturuyor. Veracode araştırması Salı yayınlandı.
Uygulama güvenliği şirketi yıllık State of Software Security raporunda, tutarsız veya gecikmiş kod taahhütleri ve hatalı taramanın havuzlar eskidikçe risk oluşturduğunu söyledi.
Tehdit aktörleri için ortak bir hedef olan kaynak kodu GitHub gibi açık kaynak havuzlarında depolandığında, kuruluşlar başka bir potansiyel açığa çıkma alanı üstlenirler. Kimlik ve erişim yönetimi platformu Okta, GitHub’daki kaynak kodu havuzlarının bir tehdit aktörü tarafından erişildi ve kopyalandı Aralık 2022’de.
Parola yöneticisi LastPass, kod tabanına yetkisiz erişimle de uğraşıyor, bu da bir tehdit aktörünün bir şifreyi kopyalamasına neden oldu. müşteri kasası verilerinin yedeklenmesipotansiyel olarak birden fazla ödün vererek 33 milyon kayıtlı kullanıcı. LastPass, hangi kod deposunu kullandığını belirtmedi.
Açık kaynak kod hırsızlığı her zaman doğrudan müşteri hesabı ihlallerine yol açmasa da, kötü niyetli aktörler diğer saldırı yöntemleri için kodu güvenlik açıkları için tarayabilir.
Veracode’a göre, GitHub’daki açık kaynak havuzlarındaki güvenlik açıklarının miktarı, kısmen her bir kod tabanına yapılan taahhütlerin yaşı ve sıklığı ile bağlantılı olabilir.
“Geliştiriciler uygulamalarına bir açık kaynak kitaplığı eklediklerinde, zamanın %79’unda onu güncellemek için asla geri dönmezler, bu nedenle herhangi bir kusur birikmeye devam eder.” Veracode baş araştırma görevlisi Chris Enge-posta yoluyla söyledi.
Meşru paketlerin kırılganlığını ölçmek için Veracode, GitHub’da genel olarak barındırılan ve Veracode müşterileri tarafından aktif olarak kullanılan yaklaşık 30.000 açık kaynak havuzu belirledi. Bu havuzlardan 10’da 1’inde yalnızca tek bir geliştirici vardı.
Üretimdeki geçerli depoların yaşı sorunlara neden olabilir.
Veracode tarafından incelenen depoların çoğu 4 ila 10 yaşındadır. Geçen ay beş kişiden birinin yeni taahhütleri vardı ve yarısının geçen yıl hiç taahhüdü yoktu.
Eng, “Bu durgun depolardaki güvenlik açıkları veya kod kusurları için spesifik sonuçları henüz keşfetmemiş olsak da, bu tür depolara çok fazla güvenmenin genel uygulamanın kırılganlığını artırabileceğini öne sürüyoruz” dedi Eng.
Veracode tarafından incelenen uygulamaların yaklaşık üçte birinin ilk taramada kusurları olduğu ve üçte ikisinden fazlasının beş yıllık üretimin ardından en az bir güvenlik açığı içerdiği bulundu.
Açık kaynaklı yazılımlardaki çözülmemiş güvenlik sorunları, genellikle önceliklere ve daha fazla kuruluşun geliştirme, tarama ve teste zaman ve kaynak yatırması için karşılanmamış ihtiyaçlara bağlıdır. Bir API güvenlik testi şirketi olan StackHawk’ın kurucu ortağı ve CSO’su Scott Gerlach.
Gerlach, e-posta yoluyla, “Bu vektör, nispeten düşük giriş maliyeti ve yüksek etkinliği nedeniyle istismar ediliyor” dedi. “Bu kitaplıkların onları kullanan yazılımlara nasıl aktarıldığı konusunda büyük bir değişiklik olmadan, böylesine etkili bir saldırı vektörüne ayak uydurmak gittikçe zorlaşacak.”