您的程式有多安全呢?

一切都與Open Source息息相關

為了確保程式安全,您必須了解您的程式碼!

Open Source是大多數現代應用程式的基礎。然而,位於美國的軟體安全公司Black Duck Software於2016年所做的一份Open Source的未來調查報告中指出,近一半的公司表示他們沒有正式的流程來追蹤與管理他們對於Open Source的使用。

另外在Black Duck Software 2016年的Open Source安全分析報告也發現到,許多開發團隊發現他們的應用程式包含的Open Source比他們以為的還要多。當您無法掌握Open Source的狀況時,可能會使應用程式安全與企業資料面臨已知Open Source漏洞(Open Source Vulnerabilities, 如HeartbleedShellshock)的風險!

Open Source透過各種方式進入您的程式之中

到處都可見到Open Source的運用,它從各個地方、各種方式進入您的程式碼中,有時候應用程式的安全漏洞就是這樣產生的。為了確保應用程式的安全性不會受到潛在漏洞的影響,您必須明確的瞭解到:

您的程式碼中有用到哪些Open Source?

您是否已經受到已知Open Source安全漏洞的影響?

您所使用的Open Source是否為最新版本? 是否符合公司政策? 是否符合License要求?

您的程式有Open Source的漏洞嗎?

數以千計的Open Source已知安全漏洞(Vulnerabilities)潛藏於各式各樣的應用程式當中。

缺乏對Open Source使用狀況與安全漏洞的掌控將會增加企業資安風險!

0
+
從2014年以來所發現的Open Source漏洞
0
%
超過八成的網路攻擊都是針對應用程式漏洞
0
%
近七成的應用程式皆含有Open Source漏洞

但多數人不這麼認為...

大多數企業總認為公司內的程式沒有使用到很多Open Source、甚至是自認為沒有使用到任何Open Source!

Open Source授權條款使用問題?

每一年,美國的軟體安全公司Black Duck Software都會針對其客戶,包含大型企業、中小型公司以及一些正在進行併購的企業,進行數百個軟體專案的Open Source稽核。

0
%
幾乎所有的程式都有用到Open Source
0
%
四分之三的稽核結果都有不明的License在程式中
0
%
有一半的Open Source使用GPL授權方式

絕大多數程式都有使用Open Source來開發,但您不一定知道有哪些Open Source,更不會知道潛藏甚麼資安漏洞。

另外對於Open Source的License授權問題,也是一個需要審慎面對的層面,一旦牽涉到某些Open Source License,企業可能就得把自身Know-How公諸於世,就如同把整個企業都給Open了。

事實證明,現況並非如此...

美國的軟體安全公司Black Duck Software在2016年針對Open Source安全分析所做的一份統計報告中指出,針對他們在近200個商業應用系統程式所進行的分析調查,確認了Open Source風險管控在軟體開發中的重要性,也強調企業組織必須有效地保護和管理他們的Open Source以及隨之而來的挑戰與威脅。

以下是這份安全分析報告的相關數據比例:

35%
每個應用系統中皆含有1/3的Open Source
67%
超過2/3的應用系統含有已知Open Source漏洞
40%
四成已知Open Source漏洞為嚴重等級
10%
一成的應用系統含有Heartbleed漏洞

平均每個應用系統的相關數據

0
Open Source使用數量
0
%
實際使用Open Source比預期還要多
0
含有Open Source漏洞數
0
漏洞公佈至今的平均天數

您的企業組織對於Open Source風險管控的態度是?

根據企業組織對於Open Source的重視程度與管理方式,我們可以把Open Source風險管控的成熟度分為四種等級:

 

Lv. 1 - 忽略風險

緊急狀況!

您並不清楚您程式中所使用的Open Source狀況,亦沒有適當的資安策略來管理Open Source的安全風險(Security Risk)以及授權風險(License Risk)。

Lv. 2 - 手動管理

大大的麻煩!

透過人工方式手動管理Open Source的使用狀況,其資料正確性、流程皆無法達到準確一致的效果。亦無法管控開發人員對於Open Source的使用。

Lv. 3 - 表格追蹤

些許進展!

雖然已有些許進展,但問題依舊存在。開發人員抱怨以手動追蹤的方式來管理Open Source會影響他們的生產力,除了精確度難以維持外,也無法即時獲取最新的安全漏洞資訊(Vulnerabilities)。

Lv. 4 - 風險管理系統

最佳辦法!

利用適當的Open Source風險管控工具來管理您的Open Source,藉由工具的自動化,能夠自動識別、盤點Open Source與程式碼,並對應出已知的漏洞(Known Vulnerabilities)和授權要求(License Agreement)。 最重要的是能夠與您既有的開發流程整合而不會影響到您整個SDLC的步調。

貴公司的Open Source風險管控成熟度落在哪個等級呢?

面對公司內部數以萬計的程式,身負資安權責的您是否對於下列幾個問題已有答案?已做好準備?

是否完全掌握公司內部程式使用Open Source的狀況?

一旦未來某個Open Source的弱點/漏洞被發現,您是否能快速掌握?立即知道哪個系統含有這個Open Source弱點/漏洞?

對於Open Source的管理(Operational)層面,是否也能夠快速取得每個Open Source的相關資訊?

如果您對於上述問題仍有所疑惑,歡迎您更進一步地來了解本公司的Open Source風險管控解決方案 ─ Black Duck Software