Snyk и The Linux Foundation разкриват, че компаниите имат малко доверие в сигурността с отворен код 

Наскоро публикацията на нов доклад от фирмата за сигурност Snyk и Linux Foundation, за тяхното съвместно изследване на състоянието на сигурността на софтуера с отворен код.

В публикацията си подробности, че резултатите не са обнадеждаващи за компаниите, след това има голямо разнообразие от значителни рискове за сигурността в резултат на широкото използване на софтуер с отворен код в рамките на модерното разработване на приложения, както и колко организации в момента са зле подготвени да управляват тези рискове ефективно.

По-конкретно, докладът установи:

Повече от четири на десет (41%) организации не са много уверени в сигурността на своя софтуер с отворен код;
Средният проект за разработка на приложения има 49 уязвимости и 80 директни зависимости (код с отворен код, извикан от проект); Y,
Времето, необходимо за коригиране на уязвимости в проекти с отворен код, непрекъснато се увеличава, повече от два пъти от 49 дни през 2018 г. до 110 дни през 2021 г.

Споменава се, че общо взето проект разработка на приложения има средно 49 уязвимости и 80 директни зависимости. Освен това времето, необходимо за коригиране на уязвимостите в проекти с отворен код, непрекъснато се увеличава, повече от два пъти от 49 дни през 2018 г. до 110 дни през 2021 г.

» Днешните разработчици на софтуер имат свои собствени вериги за доставки: вместо да сглобяват автомобилни части, те сглобяват код, като свързват съществуващи компоненти с отворен код с техния уникален код. Ако това доведе до повишена производителност и иновации“, обяснява Мат Джарвис, директор за връзки с разработчиците в Snyk. Заедно с Linux Foundation планираме да надградим тези открития, за да образоваме и оборудваме разработчиците по целия свят, като им позволим да продължат да изграждат бързо, като същевременно остават в безопасност."

Сред другите резултати, само 49% от организациите имат политика за сигурност за разработване или използване на безплатен софтуер (и тази цифра е само 27% за средни и големи компании). Докато 30% от организациите без политика за сигурност на безплатния софтуер открито признават, че никой от екипа им не се занимава директно със сигурността на безплатния софтуер.

Сложността на веригата за доставки също е проблем, като повече от една четвърт от анкетираните посочват, че са загрижени за въздействието върху сигурността на техните преки зависимости. Само 18% казват, че са уверени в контролите, които използват.

До този момент, Важно е да се подчертаят две ситуации, първият от тях е по това време разработчиците добавят компонент отворен код във вашите приложения, вие сте незабавно стават зависими от този компонент и са изложени на риск, ако този компонент съдържа уязвимости.

Другото, което се наблюдава често през последните години, е, че този риск се влошава и от косвени или транзитивни зависимости, които са зависимостите на „другите зависимости“, тук много разработчици дори не знаят за тези зависимости, което го прави дори по-трудни за проследяване и защита.

С това можем да разберем малко, че докладът показва колко реален е този риск, с десетки уязвимости, открити в много преки зависимости във всяко оценено приложение. Въпреки това до известна степен респондентите са наясно със сложността на сигурността, създадена от отворения код в днешната верига за доставки на софтуер:

Повече от една четвърт от респондентите казаха, че са загрижени за въздействието върху сигурността на техните преки зависимости; само 18% от респондентите казаха, че се доверяват на контролите, които имат за своите преходни зависимости; и Четиридесет процента от всички уязвимости са открити в преходни зависимости.

Също така е важно да споменем, че ако тези компании или разработчици не са „сигурни“ със софтуера, който използват, много от нас ще се сетят за най-логичното нещо, така че те да „плащат“ или „подпомагат разработката, или чрез разпределяне на ресурси, или разработчици", но тук в тази точка идва един от големите дебати за софтуера с отворен код, къде отвореният код трябва да бъде "платен".

Като такъв, има много примери за софтуер с отворен код, който работи с две версии, които са платени и безплатни и дори само платени, но изходният код е наличен.

От друга страна, има и движения от разработчици и големи компании, в които те решават да променят модела на разпространение или да преминат към модел на плащане, например QT.

Без повече, за тези, които искат да научат повече за това относно бележката можете да се консултирате с подробности в следната връзка.


Бъдете първите, които коментират

Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.