Ngăn chặn lỗ hổng bảo mật từ các cấu phần nguồn mở

08:05 | 09/05/2017 | GP ATM

Theo một nghiên cứu của Veracode – doanh nghiệp chuyên về bảo mật ứng dụng, gần như tất cả (97%) các ứng dụng Java chứa ít nhất một cấu phần có lỗ hổng bảo mật đã biết.

Ngăn chặn lỗ hổng bảo mật từ các cấu phần nguồn mở

Những cải thiện theo từng năm trong mã ứng dụng mà các tổ chức viết có thể bị xoá bỏ do ảnh hưởng của các cấu phần nguồn mở hay do bên thứ ba cung cấp. Một cấu phần có lỗ hổng bảo mật nghiêm trọng có thể đã ảnh hưởng tới hơn 80 ngàn cấu phần phần mềm khác và chúng lại được dùng để phát triển hàng triệu phần mềm.

Brian Fitzgerald, Giám đốc Marketing (CMO) của Veracode, nói rằng “Việc sử dụng rộng rãi các cấu phần nguồn mở trong phát triển phần mềm đang tạo ra rủi ro hệ thống không thể quản lý trong các công ty và các ngành công nghiệp”. 90% các ứng dụng chứa các cấu phần của bên thứ ba, thường là cấu phần nguồn mở. Hơn 50% các công ty trong danh sách Global 500 dùng các cấu phần nguồn mở có lỗ hổng bảo mật.

Ngoài những lỗ hổng như Heartbleed, ShellShock được cả thế giới biết tới nên không thể bỏ qua, phần lớn các lỗ hổng trong các cấu phần nguồn mở rất ít được chú ý. Những cơ sở dữ liệu về lỗ hổng bảo mật lớn như CVE và NIST Vulnerability Database cung cấp rất ít thông tin về lỗ hổng bảo mật của phần mềm nguồn mở. Các nguồn thông tin chuyên về lỗ hổng bảo mật của phần mềm nguồn mở thì lại phân tán rải rác nên rất khó theo dõi.

Tình hình còn xấu hơn khi OSVDB - một trong những cơ sở dữ liệu về lỗ hổng bảo mật tập trung vào mảng phần mềm nguồn mở lớn nhất - đóng cửa vào tháng 4/2016. Tuy điều đó dẫn đến sự nổi lên của các kho dữ liệu khác như Node Security Project và RubySec những vẫn còn rất nhiều hệ thống khác chưa được xét tới.

Sự phụ thuộc lẫn nhau khiến hệ thống phần mềm nguồn mở khá mong manh. Sự cố khiến cả cộng đồng NodeJS lo ngại khi chỉ với 11 dòng lệnh bị xoá cũng đã khiến Internet chao đảo là một minh chứng. OWASP đã nhận ra điều đó và bổ sung vấn đề dùng cấu phần có lỗ hổng bảo mật đã biết ("Using Components with Known Vulnerabilities") vào OWASP Top 10 năm 2013. Các lựa chọn để xử lý vấn đề này bao gồm:

- Thuê các tổ chức chuyên đánh giá mã nguồn như Veracode kiểm tra độ an toàn của ứng dụng nguồn mở.

- Tham khảo kết quả đánh giá độc lập của các tổ chức uy tín, so sánh các dự án nguồn mở dựa trên điểm đánh giá rủi ro bằng công cụ SecurifyGraphs.

- Tìm kiếm thông tin về lỗ hổng bảo mật của các cấu phần nguồn mở từ các dự án nguồn mở / thương mại (xem danh sách phía dưới)

- Sử dụng BlackDuck Software Sonatype's Nexus, và Protecode – những công cụ ở mức doanh nghiệp, cho phép quản lý toàn bộ các vấn đề bản quyền, bảo mật, áp đặt chính sách cho quá trình sử dụng cả cấu phần nguồn mở lẫn các cấu phần thương mại từ bên thứ ba.

Các dự án tổng hợp/tìm kiếm thông tin về lỗ hổng bảo mật của phần mềm nguồn mở

- Node Security Project nổi tiếng về những công việc liên quan đến các môđun Node.js và NPM nhưng dự án này còn cung cấp các công cụ quét các gói phần mềm để tìm ra những lỗ hổng bảo mật đã được biết, dựa vào các cơ sở dữ liệu công cộng như NIST National Vulnerability Database và cơ sở dữ liệu riêng của dự án.

- RetireJS là công cụ kiểm tra các phần mềm nguồn mở viết bằng JavaScript. Để giúp người dùng dễ sử dụng, dự án cung cấp nhiều cấu phần khác nhau, từ công cụ chạy bằng dòng lệnh cho tới các plugin cho Grunt, Gulp, Chrome, Firefox, ZAP, and Burp. RetireJS cũng cung cấp dịch vụ kiểm tra qua web. RetireJS lấy thông tin về lỗ hổng từ NIST NVD và nhiều nguồn khác, bao gồm các mailing list, các hệ thống theo dõi lỗi và blogs của các dự án JavaScript nổi tiếng.

- OSSIndex hỗ trợ nhiều công nghệ khác nhau, trích xuất dữ liệu từ NPM, Nuget, Maven Central Repository, Bower, Chocolatey và MSI (có nghĩa là hệ thống này hỗ trợ cả JavaScript, .NET/C# và Java). OSSIndex cũng cung cấp API tìm kiếm lỗ hổng miễn phí.

- Dependency-check là một công cụ nguồn mở chạy từ dòng lệnh của OWASP giúp xác định các cấu phần cần cho dự án và kiểm tra xem có các lỗ hổng bảo mật đã biết trong đó hay không dựa vào cơ sở dữ liệu của NIST NVD, có thể chạy độc lập hoặc kết hợp với các công cụ build phần mềm.

- Bundler-audit cũng là một công cụ kiểm tra mã nguồn mở nhưng chỉ tập trung vào Ruby Bundler. Dự án này lấy thông tin về các lỗ hổng bảo mật từ NIST NVD và RubySec.

- Hakiri là công cụ thương mại giúp phân tích, tìm kiếm lỗ hổng bảo mật của các dự án Ruby và Rails trên GitHub. Dự án này cung cấp dịch vụ miễn phí cho các dự án nguồn mở nhưng thu tiền của các dự án khác. Hakiri dùng cơ sở dữ liệu của NVD và Ruby Advisory Database. Dự án này dự kiến sẽ hỗ trợ các nền tảng khác như Node.js và PHP, đồng thời thêm tính năng tích hợp với Slack, JIRA và Pivotal Tracker.

- Snyk là dịch vụ thương mại tập trung vào các gói JavaScript npm. Không chỉ cung cấp công cụ phát hiện lỗ hổng bảo mật trong các dự án JavaScript, Snyk còn giúp người dùng xử lý vấn đề bằng các hướng dẫn nâng cấp và các bản vá do họ tạo ra. Snyk có cơ sở dữ liệu về các lỗ hổng bảo mật riêng, tạo nên từ dữ liệu của NIST NVD và NSP. Snyk tập trung vào việc xử lý các lỗ hổng ở quy mô doanh nghiệp, với các công cụ cộng tác và tích hợp chặt chẽ với GitHub. Tổng giám đốc của Snyk cho biết họ sẽ xây dựng các công cụ cho phép lập trình viên xem xét và kiểm soát tốt hơn với những gói phần mềm nguồn mở chạy trên môi trường production.

- Gemnasium là công cụ thương mại với các gói dùng thử miễn phí, hỗ trợ Ruby, NPM (JavaScript), PHP, Python và Bower (JavaScript). Gemnasium có cơ sở dữ liệu riêng, lấy thông tin từ nhiều nguồn khác nhau. Tuy được rà soát thủ công hàng ngày nhưng những thông tin cập nhật không công bố tự động. Gemnasium cung cấp tính năng tự động cập nhật với thuật toán đặc biệt để kiểm thử một số tập thông minh chứ không kiểm tra tất cả các khả năng và do đó tiết kiệm khá nhiều thời gian. Một tính năng mới khác của Gemnasium là tích hợp với Slack: người dùng được thông báo qua Slack ngay khi có lỗ hổng bảo mật mới. Gemnasium có kế hoạch cung cấp phiên bản dành cho doanh nghiệp, cài đặt tại trung tâm dữ liệu của khách hàng, hỗ trợ nhiều ngôn ngữ hơn.

- SRC: CLR là một công cụ thương mại với các đặc tính thú vị. Cơ sở dữ liệu của nó lấy thông tin từ NIST NVD và nhiều nguồn khác. Ngoài công cụ chạy từ dòng lệnh, nó còn cung cấp nhiều loại plugin cho các môi trường phát triển tích hợp, các hệ thống deployment và các hệ thống quản lý mã nguồn. Điểm đặc biệt là Source Clear dùng phương pháp xác định lỗ hổng bảo mật cho người dùng biết lỗ hổng bảo mật của một môđun có thực sự được dùng đến trong ứng dụng hay không. Điều đó giúp giảm đáng kể những cảnh báo giả và tập trung vào những lỗ hổng thực sự. Source Clear đã có kế hoạch cung cấp phiên bản miễn phí.

‹ › ×

Tin liên quan

McAfee và IBM tham gia sáng kiến nguồn mở an ninh mạng toàn cầu

14:00 | 08/11/2019

Ngày nay, kỹ thuật số đang ngày càng phát triển đa dạng, kéo theo sự gia tăng của các mối đe dọa trực tuyến. Có hàng trăm giải pháp bảo mật cạnh tranh nhưng ít khi được tích hợp do người dùng thường triển khai nhiều hơn một hệ thống. Điều này sẽ thay đổi khi các công ty công nghệ hợp tác với nhau để tạo ra Liên minh an ninh mạng mở, đây là một nỗ lực để chia sẻ các giải pháp bảo mật và tăng cường hợp tác bảo mật cùng có lợi.

Tin cùng chuyên mục

IoT và đảm bảo an toàn thông tin

23:36 | 16/06/2017

Chúng ta đang sống trong giai đoạn đầu của cuộc Cách mạng công nghiệp lần thứ 4. Đây là xu hướng kết hợp giữa các hệ thống ảo và thực thể, vạn vật kết nối Internet (IoT) và các hệ thống kết nối Internet (IoS). Cuộc cách mạng này đang làm biến đổi xã hội và nền kinh tế toàn cầu. Tác động của IoT rất đa dạng, trên các lĩnh vực: quản lý hạ tầng, y tế, xây dựng và tự động hóa, giao thông… Đến năm 2020, trên toàn cầu sẽ có 4 tỷ người kết nối với nhau, hơn 25 tỷ hệ thống nhúng và hệ thống thông minh; 50 ngàn tỷ Gigabyte dữ liệu và doanh thu ước tính IoT mang lại khoảng 4 nghìn tỷ USD. IoT là chìa khóa của thành công trong tương lai. Tuy nhiên, IoT và sự phát triển của thế giới siêu kết nối cũng tiềm ẩn những rủi ro về bảo mật, an toàn thông tin, vì vậy, giải quyết vấn đề đảm bảo an toàn cho các

Mật khẩu trong tương lai là toàn bộ cơ thể con người

05:30 | 04/04/2017

Bắt đầu với Touch ID của Apple và giờ đây là “selfie-pay” của Alibaba, các công ty đang nghiên cứu công nghệ chân dung sinh học để tăng tính bảo mật cho người dùng smartphone.

Giám sát An toàn thông tin cho hệ thống CNTT của các cơ quan nhà nước

23:26 | 29/05/2015

Hệ thống giám sát ATTT cho phép thu thập, chuẩn hóa, lưu trữ và phân tích tương quan toàn bộ các sự kiện ATTT được sinh ra trong hệ thống CNTT của tổ chức. Hệ thống này sẽ phát hiện kịp thời các tấn công mạng, các điểm yếu, lỗ hổng bảo mật của các thiết bị, ứng dụng và dịch vụ trong hệ thống; Phát hiện kịp thời sự bùng nổ virus trong hệ thống mạng, các máy tính bị nhiễm mã độc, các máy tính bị tình nghi là thành viên của mạng máy tính ma (botnet).

Xây dựng cơ chế tự phòng chống tấn công DoS trong mạng Openflow/SDN

00:00 | 07/03/2015

Mạng định nghĩa bằng phần mềm (SDN) cùng giao thức Openflow đang trở thành xu thế công nghệ của tương lai, với nhiều tính năng ưu việt về khả năng quản lý, tính linh hoạt và hiệu năng cao, chi phí thấp. Tuy nhiên, vấn đề đảm bảo an toàn thông tin cho hệ thống mạng này vẫn là một thách thức không nhỏ khi triển khai thực tế. Bài viết giới thiệu giải pháp xây dựng cơ chế tự phòng chống tấn công từ chối dịch vụ trong mạng Openflow/SDN như một phương án khả thi trong quá trình triển khai vận hành hệ thống.