ComputerTrends magazin 2024.01.17.
A ComputerTrends magazin 2024. január 17-én megjelent lapszáma.
A ComputerTrends magazin 2024. január 17-én megjelent lapszáma.
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
BIZTONSÁG<br />
Mik kellenek az open source<br />
komponensek biztonságának<br />
fenntartásához?<br />
A vállalatoknak muszáj kiemelt figyelmet fordítaniuk a szoftvereikben rejlő<br />
sebezhetőségekre, mivel akár egyetlen biztonsági rés is kaput nyithat a kiberbűnözők<br />
előtt a rendszereikhez. Ha el akarják ezt kerülni, minden általuk fejlesztett szoftvert<br />
rendszeresen át kell vizsgálniuk és javítani, ha sérülékenységet találnak. A hibakeresést<br />
fontos kiterjeszteni a szoftverekben található open source komponensekre is, mivel<br />
az alkalmazások több mint 90 százaléka tartalmaz ilyen összetevőt. A Micro Focus<br />
szakértői arra mutattak rá, hogy a megfelelő, fejlett megoldásokkal automatizálható és<br />
egyszerűsíthető a folyamat, a tesztelés és a javítás pedig zökkenőmentesen beilleszthető<br />
a szoftverfejlesztési ciklusba.<br />
Az üzleti életben gyorsan változnak a<br />
trendek és az elvárások, ami arra készteti<br />
a szoftverfejlesztő csapatokat, hogy<br />
olyan agilis gyakorlatokat alkalmazzanak, mint<br />
például a DevOps, hogy lépést tudjanak tartani az<br />
új igényekkel. Ezek az új megközelítések azonban<br />
nagy nyomást gyakorolnak a fejlesztőkre az alkalmazások<br />
gyorsabb létrehozásával és kiadásával<br />
kapcsolatban, akik ezért gyakran használnak nyílt<br />
forráskódú komponenseket annak érdeklében,<br />
hogy időt takarítsanak meg, és sikeresen teljesíteni<br />
tudják a kitűzött célokat a rövid szoftverkiadási<br />
ciklusokon belül. Az open source összetevők<br />
használatával ugyanis nem kell teljesen a nulláról<br />
kezdeniük a fejlesztést, hanem “mindössze” annyi<br />
a dolguk, hogy hozzáadják a szükséges funkciókat<br />
tartalmazó komponenst a saját kódjukhoz.<br />
Ez a megközelítés felgyorsítja a folyamatokat, és<br />
egyúttal a költségeket is csökkenti.<br />
A biztonság kérdéses<br />
A nyílt forráskódú komponensek ugyanakkor<br />
kockázatokat is hordozhatnak magukban, hiszen<br />
előfordulhatnak bennük biztonsági rések akár már a<br />
fejlesztés kezdetétől fogva, és a későbbiekben is fény<br />
derülhet egy-egy hibára. A szoftveres ellátási láncok<br />
menedzsmentjével foglalkozó Sonatype vállalat<br />
legutóbbi Open Source Index jelentése szerint a<br />
nyílt forráskódú projektek mindössze 11 százalékát<br />
tartják karban aktívan. A felmérés szerint átlagosan<br />
8-ból 1 nyílt forráskódú letöltésnél jelen vannak<br />
már ismert kockázatok, bár a sebezhető verziók 96<br />
százalékánál rendelkezésre állt javított verzió.<br />
Vizsgálat profi eszközökkel<br />
Az open source komponensek biztonságát tehát<br />
ugyanúgy érdemes vizsgálni és rendszeresen tesztelni,<br />
mint a saját fejlesztésű kódokét. Léteznek erre<br />
professzionális eszközök, köztük például a Sonatype<br />
megoldása, amely automatizálja a nyílt forráskódú<br />
eszközök vezérlését és vizsgálatát a teljes szoftverfejlesztési<br />
ciklusban.<br />
A termék ráadásul integrálható a Fortify profeszszionális<br />
alkalmazásbiztonsági teszteszközökkel,<br />
amelyek az egyedi fejlesztésű kódok teszteléséről<br />
gondoskodnak. A Fortify Static Code Analyzer az<br />
egyedi fejlesztésű forráskód statikus elemzésével<br />
képes azonosítani a biztonsági réseket, és rangsorolja<br />
is a hibákat fontosság szerint, hogy a kritikus<br />
sérülékenységeket javíthassák először. A Fortify<br />
Software Composition Analysis pedig automatizált<br />
módon vizsgálja a kódot az open source komponensek<br />
sérülékenységei után kutatva, és az eredményeket<br />
kiterjedt sebezhetőségi adatbázisokkal<br />
veti össze, amelyeket magas szintű gépi tanulásra<br />
támaszkodva, szakértő kutatók tapasztalatával<br />
kiegészítve tartanak naprakészen.<br />
A Sonatype megoldása és a Fortify termékcsalád<br />
együtt átfogó képet ad a szoftverekben található,<br />
egyedi fejlesztésű kódok és a nyílt forráskódú<br />
komponensek biztonságáról. Ehhez elég egy vizsgálatot<br />
lefuttatni, melynek eredményei a vezérlőpulton<br />
jelennek meg összesítve. Az eszközök egymással<br />
együttműködve holisztikus megközelítést tesznek<br />
lehetővé a különféle hibák javításához, és zökkenőmentesen<br />
integrálhatók a DevOps folyamatokba, így<br />
lehetővé teszik a kockázatok proaktív kezelését a<br />
szoftverfejlesztési ciklusok összes fázisában.<br />
Az open source<br />
komponensek<br />
vizsgálatáról<br />
szóló videó<br />
a QR kód alatt.<br />
26 | <strong>ComputerTrends</strong> | 2024. január