في الآونة الأخيرة ، تم نشر تقرير جديد من شركة الأمان للمطورين Snyk ومؤسسة Linux Foundationحول أبحاثهم المشتركة في حالة أمان البرامج مفتوحة المصدر.
في رسالتك بالتفصيل أن النتائج لا تشجع الشركات ، إلى هناك مجموعة متنوعة من المخاطر الأمنية الهامة ناتج عن الاستخدام الواسع النطاق للبرامج مفتوحة المصدر في تطوير التطبيقات الحديثة ، فضلاً عن عدد المؤسسات غير المستعدة حاليًا لإدارة هذه المخاطر بشكل فعال.
على وجه التحديد ، وجد التقرير:
أكثر من أربع من كل عشر (41٪) مؤسسات ليست واثقة جدًا من أمان برمجياتها مفتوحة المصدر ؛
يحتوي متوسط مشروع تطوير التطبيقات على 49 نقطة ضعف و 80 تبعيات مباشرة (يسمى رمز المصدر المفتوح بواسطة المشروع) ؛ نعم ،
يتزايد الوقت الذي يستغرقه إصلاح الثغرات الأمنية في المشاريع مفتوحة المصدر بشكل مطرد ، حيث تضاعف من 49 يومًا في عام 2018 إلى 110 يومًا في عام 2021.
يذكر أن عموما مشروع تطوير التطبيق لديها في المتوسط 49 نقطة ضعف و 80 تبعية مباشرة. بالإضافة إلى ذلك ، ازداد الوقت المطلوب لإصلاح الثغرات الأمنية في المشاريع مفتوحة المصدر بشكل مطرد ، حيث تضاعف من 49 يومًا في 2018 إلى 110 أيام في 2021.
»يمتلك مطورو البرمجيات اليوم سلاسل التوريد الخاصة بهم: فبدلاً من تجميع أجزاء السيارة ، يقومون بتجميع التعليمات البرمجية من خلال ضم المكونات مفتوحة المصدر الحالية مع التعليمات البرمجية الفريدة الخاصة بهم. إذا أدى ذلك إلى زيادة الإنتاجية والابتكار ، "يوضح مات جارفيس ، مدير علاقات المطورين في Snyk. جنبًا إلى جنب مع Linux Foundation ، نخطط للبناء على هذه النتائج لتثقيف وتجهيز المطورين حول العالم بشكل أكبر ، وتمكينهم من الاستمرار في البناء بسرعة ، مع الحفاظ على سلامتهم ".
من بين النتائج الأخرى ، فقط 49٪ من المنظمات لديها سياسة أمنية لتطوير أو استخدام البرمجيات الحرة (وهذا الرقم هو 27٪ فقط للشركات المتوسطة والكبيرة). بينما تقر 30٪ من المؤسسات التي ليس لديها سياسة أمان برمجيات حرة صراحة أنه لا يوجد أحد في فريقها يتعامل مباشرة مع أمن البرمجيات الحرة.
تعقيد سلسلة التوريد هو أيضا مشكلة، حيث أشار أكثر من ربع المستجيبين إلى قلقهم بشأن التأثير الأمني لتبعياتهم المباشرة. قال 18٪ فقط إنهم واثقون من عناصر التحكم التي يستخدمونها.
حتى هذه اللحظة ، من المهم إبراز حالتين, الأول منهم في الوقت الذي يضيف فيه المطورون مكونًا المصدر المفتوح في تطبيقاتك ، أنت على الفور تصبح معتمدة على هذا المكون وتكون في خطر إذا كان هذا المكون يحتوي على نقاط ضعف.
والآخر والذي شوهد بشكل متكرر في السنوات الأخيرة هو أن هذا الخطر يتفاقم أيضًا بسبب التبعيات غير المباشرة أو العابرة ، والتي هي تبعيات "التبعيات الأخرى" ، وهنا لا يعرف الكثير من المطورين حتى عن هذه التبعيات ، مما يجعلها متساوية. من الصعب تتبعها وحمايتها.
من خلال هذا ، يمكننا أن نفهم قليلاً أن التقرير يوضح مدى حقيقة هذا الخطر ، مع اكتشاف العشرات من نقاط الضعف في العديد من التبعيات المباشرة في كل تطبيق تم تقييمه. ومع ذلك ، فإن المستجيبين على دراية إلى حد ما بالتعقيدات الأمنية التي أنشأتها المصادر المفتوحة في سلسلة توريد البرمجيات اليوم:
قال أكثر من ربع المستجيبين إنهم قلقون بشأن التأثير الأمني لتبعياتهم المباشرة ؛ قال 18٪ فقط من المستجيبين إنهم يثقون في الضوابط التي يمتلكونها في التبعيات العابرة ؛ ووجد أربعون في المائة من جميع نقاط الضعف في التبعيات متعدية.
من المهم أيضًا الإشارة إلى أنه إذا لم تكن هذه الشركات أو المطورين "آمنين" مع البرامج التي يستخدمونها ، فسيفكر الكثير منا في الأمر الأكثر منطقية ، بحيث "يدفعون" أو "يدعمون التطوير ، إما عن طريق تخصيص الموارد أو للمطورين "، ولكن هنا في هذه النقطة يأتي أحد أهم النقاشات حول البرمجيات مفتوحة المصدر ، حيث إذا كان يجب" الدفع "إذا كان المصدر المفتوح.
على هذا النحو ، هناك العديد من الأمثلة على البرامج مفتوحة المصدر التي تتعامل مع نسختين ، مدفوعة ومجانية ، وحتى مدفوعة فقط ، ولكن الكود المصدري متاح.
من ناحية أخرى ، كانت هناك أيضًا تحركات من قبل المطورين والشركات الكبيرة ، قرروا فيها تغيير نموذج التوزيع أو الانتقال إلى نموذج الدفع ، على سبيل المثال QT.
بدون المزيد للراغبين في معرفة المزيد عنها حول الملاحظة ، يمكنك الرجوع إلى التفاصيل في الرابط التالي.