$
IT בעולם

פרצות אבטחה ברכיבי קוד פתוח מאיימות על תוכנות מסחריות

מחקר של חברת סייבר מצא פרצות אבטחה שמקורן ברכיבי קוד פתוח בכ-200 תוכנות מסחריות. בממוצע נמצאו כ-22 פרצות בכל תוכנה ביניהן גם כאלה שכבר נחסמו בגרסאות חדשות יותר

רפאל קאהאן 14:3505.05.16

מחקר שנערך על ידי חברת הסייבר Black Duck מצא שרכיבי קוד פתוח שנמצאים ברוב ביישומים המסחריים כיום עשויים להכיל פרצות אבטחה חמורות. המחקר בדק כ-200 יישומים מסחריים שנמצאים בשימוש נפוץ בקרב ארגונים.

עורכי המחקר מצאו שבממוצע ישנן כ-22.5 פרצות זמינות שמקורן ברכיבי קוד פתוח ששימשו במהלך פיתוח היישום. רכיבים אלה יכולים להיות ספריות, טכנולוגיות או סקריפטים והם משמשים באופן שוטף מפתחים רבים. הבעיה היא שבחלקם, רכיבים אלה אינם מעודכנים לאחר ששולבו במוצר הסופי.

ב-10% מהמקרים נמצאו רכיבים עם פרצת הארטבליד ב-10% מהמקרים נמצאו רכיבים עם פרצת הארטבליד

 

67% מהיישומים שנבדקו הכילו רכיבי קוד פתוח עם חולשות. עוד נמצא שבממוצע נמצאו כ-5 רכיבים שהכילו פרצות אבטחה. פרצות אלה משמשות לרוב האקרים על מנת לחדור למערכות ולגנוב מידע או לגבל גישה לממשקים ארגוניים.

 

זאת ועוד, לא מעט מהחולשות שמופו היו ישנות מאוד ובחלקן כבר נחסמו בגרסאות עדכניות של אותם רכיבי קוד פתוח. חלק מהחולשות האלה התגלו כבר לפני כ-5 שנים. אחד החוקרים הסביר שארגונים רבים לא טורחים לבצע בדיקה מקיפה של הקוד של יישומים שנמצאים בשימוש.

 

"הממצאים מעידים שארגונים רבים כלל לא היו מודעים לפרצות האלה כלל", הסביר החוקר, "או בגלל שלא ידעו שהרכיב נמצא ביישום, או בגלל שהם לא טרחו לבדוק את הרכיבים במאגרי המידע הזמינים".

 

בכ-10% מהמקרים, חלק מהפרצות שנמצאו היו כאלה שנמצאות בראש רשימת החולשות המסוכנות, כגון באג ה-Heartbleed בפרוטוקול OpenSSL, או פרצת POODLE שמאיימת על אתרי אינטרנט שמאובטחים דרך TLS.  

בטל שלח
    לכל התגובות
    x