Dependensi aman
Persentase besar kode yang ada dalam aplikasi modern terdiri dari pustaka dan dependensi yang Anda pilih, pengembang. Ini adalah praktik umum yang menghemat waktu dan uang. Namun, kelemahannya adalah Anda sekarang bertanggung jawab atas kode ini—meskipun orang lain menulisnya—karena Anda menggunakannya dalam proyek Anda. Jika peneliti (atau lebih buruk, peretas) menemukan kerentanan di salah satu pustaka pihak ketiga ini, kelemahan yang sama kemungkinan juga akan ada di aplikasi Anda.
Dengan menggunakan komponen dengan kerentanan yang diketahui adalah masalah besar dalam industri kami. Sangat bermasalah sehingga membuat daftar 10 teratas OWASP dari kerentanan aplikasi web terburuk, bertahan di #9 selama beberapa tahun.
Lacak kerentanan keamanan yang diketahui
Masalah yang kita miliki adalah mengetahui kapan masalah ditemukan. Menjaga pustaka dan dependensi kami tetap diperbarui (#4 dalam daftar kami!) tentu saja akan membantu, tetapi ada baiknya untuk melacak kerentanan yang diidentifikasi yang mungkin memengaruhi aplikasi Anda.
Penting
Ketika sistem memiliki kerentanan yang diketahui, kemungkinan besar juga memiliki eksploitasi yang tersedia, kode yang dapat digunakan orang untuk menyerang sistem tersebut. Jika eksploitasi dibuat publik, sangat penting bahwa setiap sistem yang terpengaruh segera diperbarui.
Mitre adalah organisasi nirlaba yang mempertahankan daftar Kerentanan dan Paparan Umum. Daftar ini adalah kumpulan kerentanan keamanan cyver yang diketahui dapat ditelusuri secara publik di aplikasi, pustaka, dan kerangka kerja. Jika Anda menemukan pustaka atau komponen dalam database CVE, pustaka atau komponen tersebut memiliki kerentanan yang diketahui.
Komunitas keamanan mengirimkan masalah ketika kelemahan keamanan ditemukan dalam produk atau komponen. Setiap masalah yang diterbitkan diberi ID dan berisi tanggal yang ditemukan, deskripsi kerentanan, dan referensi ke solusi yang diterbitkan atau pernyataan vendor tentang masalah tersebut.
Cara memverifikasi apakah Anda memiliki kerentanan yang diketahui di komponen pihak ketiga Anda
Anda dapat memasukkan tugas harian ke ponsel Anda untuk memeriksa daftar ini, tetapi untungnya bagi kami, banyak alat yang ada untuk memungkinkan kami memverifikasi apakah dependensi kami rentan. Anda dapat menjalankan alat ini terhadap basis kode Anda, atau lebih baik lagi, menambahkannya ke alur CI/CD Anda untuk secara otomatis memeriksa masalah sebagai bagian dari proses pengembangan.
- Pemeriksaan Dependensi OWASP, yang memiliki plugin Jenkins
- Snyk, yang gratis untuk repositori sumber terbuka di GitHub
- Black Duck yang digunakan oleh banyak perusahaan
- Retire.js alat untuk memverifikasi apakah pustaka JavaScript Anda sudah kedaluarsa; dapat digunakan sebagai plugin untuk berbagai alat, termasuk Burp Suite
Anda juga dapat menggunakan beberapa alat yang dibuat khusus untuk analisis kode statis untuk ini.
- Pemindaian Kode Keamanan
- Pemindaian Puma
- Pemeriksa Aplikasi PT
- Plugin Dependensi Apache Maven
- Sonatype
- ...dan masih banyak lagi.
Untuk informasi lebih lanjut tentang risiko yang terlibat dalam penggunaan komponen yang rentan, kunjungi halaman OWASP yang didedikasikan untuk topik ini.
Ringkasan
Saat Anda menggunakan pustaka atau komponen pihak ketiga lainnya sebagai bagian dari aplikasi, Anda juga mengambil risiko apa pun yang mungkin mereka miliki. Cara terbaik untuk mengurangi risiko ini adalah dengan memastikan bahwa Anda hanya menggunakan komponen yang tidak memiliki kerentanan yang diketahui terkait dengannya.