Äskettäin on uutisoitu Rubyn erääseen kirjastoon upotetusta ”haittaohjelmankaltaisesta” vahingollisesta koodinpätkästä. Uutinen on esimerkiksi luettavissa ZDNet-palvelussa.
Mistä tässä on kysymys? Hyvin perinteisestä asiasta. Hakkeri on onnistunut ottamaan haltuunsa kehittäjän tunnukset, ja sitä kautta päässyt muokkaamaan kirjaston lähdekoodia. Luottamusketju Rubyn kaltaisessa frameworkissa on kuitenkin kova – kehittäjät tunnetaan nimimerkillä ja kuvalla eikä muutoksiin suhtauduta lähtökohtaisesti mitenkään epäillen. Eikä voitaisikaan, se romuttaisi osaltaan koko avoimen lähdekoodin konseptin. Silti, jotenkin tätä vastaan olisi suojauduttava.
Kaiken kaikkiaan kurjaa ja ikävää – mutta tähänkin on olemassa automatisoitava ja holistinen ratkaisu jolla kirjaston käyttäjät voivat hallita tätä sovelluskehitykseen liittyvää ja nykyään vakavaksi katsottavaa riskiä. Veracoden Sourceclear skannaa ja seuraa – yötä päivää ja väsymättä – sovelluskehitysympäristösi kirjastojen haavoittuvuuksia ja raportoi silloin kun ohjelmistossa on käytössä kirjasto joka sisältää haavoittuvuuksia.
Veracode SCA kirjastoanalyysi paljastaa haavoittuvuudet ja lisenssiriskit
Veracoden SCA-toiminto (Software Composition Analysis) havaitsee avoimen lähdekoodin kirjaston käyttöön liittyvät riskit, joita saattavat olla esim. vanhentuneet ja riskialttiit versiot. Lisäksi joihinkin avoimen lähdekoodin kirjastoihin saattaa liittyä myös lisenssiriski, jos sovellusta käytetään kaupallisiin tarkoituksiin.
Ymmärrä avoimen lähdekoodin riskit
Sovelluskehitystiimeille asetettavat vaatimukset ovat suuremmat kuin koskaan. Ketteryyden ja kehitysnopeuden vaatimusten jatkuvassa kasvussa, DevOpsin ja hyvin voideltujen CI/CD-järjestelmien edessä kehittäjät ovat äärettömässä tuotantopaineessa.
