Java 앱이 알려진 보안 결함으로부터의 광범위한 공격에 취약한 지에 대한 보고서

 

최근 발표 된 CA Veracode의 연구에 따르면 대부분의 Java 응용 프로그램에는 적어도 하나의 취약한 구성 요소가 포함되어있어 광범위한 공격에 취약한 것으로 나타났습니다.

 

CA Veracode의 1,400여 고객에 대한 기반 인 "2017 소프트웨어 보안 보고서"라는 제목의이 연구는 28 % 미만의 기업이 정기적으로 구성 분석을 수행하여 응용 프로그램에 어떤 구성 요소가 내장되어 있는지 파악했습니다.

 

오픈 소스 및 상용 구성 요소의 광범위한 취약점으로 인해 Java 응용 프로그램에 많은 주목할만한 보안 침해가있었습니다. 이것은 지난 12 개월 동안 일어난 일입니다. 이 분석에 따르면 Apache Struts 2 라이브러리를 사용하는 Java 애플리케이션의 68 %가 초기 공격 이후 몇 주 동안 취약한 버전의 구성 요소를 사용하고있었습니다. 이는 Apache Struts 2 라이브러리에서 중요한 노출이었습니다. 명령 삽입을 사용하여 RCE (원격 코드 실행) 공격을 가능하게하여 약 3 천 5 백만 사이트가 취약 해졌습니다.

 

Flexera의 보고서에 따르면 몇 달에서 몇 년 사이에 발생할 수있는 그러한 사이버 공격 및 침해에 대해 경고합니다.

 

400개 이상의 소프트웨어 공급 업체, IoT 제조업체 및 사내 개발 팀이 "오픈 소스 위험 - 사실 또는 허구"라는 보고서를 공개하기 위해 조사되었습니다.

 

소프트웨어 공급 업체는 오픈 소스 소프트웨어 (OSS)를 통해 제품을 신속하게 구축 할 수 있지만이 보고서는 모든 소프트웨어 공급 업체와 IoT 제조업체가 알아야 할 숨겨진 소프트웨어 공급망 위험을 보여줍니다.

 

예를 들어, Equifax 고객의 개인 데이터에 잠재적으로 액세스 한 범죄자는 Apache Struts CVE-2017-5638 취약점을 악용했습니다. Apache Struts는 상용 및 사내 시스템의 회사에서 데이터를 가져와 제공하는 데 사용되는 널리 사용되는 오픈 소스 구성 요소 (웹 서버용 프레임 워크)입니다.

 

Flexera의 제품 관리 담당 부사장 인 Jeff Luszcz는 "오픈 소스가 실제로 확실한 승리라는 사실을 잊을 수는 없습니다.

 

Ready-to-go 코드를 사용하면 제품을 더 빨리 출고 할 수 있습니다. 이는 소프트웨어 공간의 번영을 고려할 때 중요합니다. 그러나 대부분의 소프트웨어 엔지니어는 오픈 소스 사용을 추적하지 않으며 대부분의 소프트웨어 임원은 갭과 보안 / 컴플라이언스 위험을 인식하지 못합니다. "