সম্প্রতি, এর প্রকাশনা বিকাশকারী নিরাপত্তা সংস্থা Snyk এবং লিনাক্স ফাউন্ডেশনের একটি নতুন প্রতিবেদন, ওপেন সোর্স সফ্টওয়্যার নিরাপত্তা রাজ্যে তাদের যৌথ গবেষণা সম্পর্কে।
আপনার পোস্টে বিস্তারিত যে ফলাফল কোম্পানির জন্য উত্সাহজনক নয়, তারপর বিভিন্ন গুরুত্বপূর্ণ নিরাপত্তা ঝুঁকি রয়েছে আধুনিক অ্যাপ্লিকেশন ডেভেলপমেন্টের মধ্যে ওপেন সোর্স সফ্টওয়্যারের ব্যাপক ব্যবহারের ফলে, সেইসাথে কতগুলি সংস্থা বর্তমানে এই ঝুঁকিগুলি কার্যকরভাবে পরিচালনা করার জন্য প্রস্তুত নয়।
বিশেষ করে, রিপোর্ট পাওয়া গেছে:
দশটির মধ্যে চারটির বেশি (41%) প্রতিষ্ঠান তাদের ওপেন সোর্স সফ্টওয়্যারের নিরাপত্তার ব্যাপারে খুব বেশি আস্থাশীল নয়;
গড় অ্যাপ্লিকেশন ডেভেলপমেন্ট প্রজেক্টে 49টি দুর্বলতা এবং 80টি সরাসরি নির্ভরতা রয়েছে (একটি প্রকল্পের দ্বারা বলা ওপেন সোর্স কোড); Y,
ওপেন সোর্স প্রকল্পে দুর্বলতা ঠিক করতে যে সময় লাগে তা ক্রমাগত বৃদ্ধি পাচ্ছে, 49 সালের 2018 দিন থেকে 110 সালে 2021 দিনে দ্বিগুণেরও বেশি।
এটি উল্লেখ করা হয় সাধারণত একটি প্রকল্প অ্যাপ্লিকেশন উন্নয়ন গড়ে 49টি দুর্বলতা এবং 80টি সরাসরি নির্ভরতা রয়েছে. উপরন্তু, ওপেন সোর্স প্রকল্পে দুর্বলতা ঠিক করার জন্য প্রয়োজনীয় সময় ক্রমাগত বৃদ্ধি পেয়েছে, যা 49 সালে 2018 দিন থেকে 110 সালে 2021 দিনে দ্বিগুণেরও বেশি।
» আজকের সফ্টওয়্যার বিকাশকারীদের নিজস্ব সাপ্লাই চেইন রয়েছে: গাড়ির যন্ত্রাংশ একত্রিত করার পরিবর্তে, তারা তাদের অনন্য কোডের সাথে বিদ্যমান ওপেন সোর্স উপাদানগুলিতে যোগদান করে কোড একত্রিত করে। যদি এটি উত্পাদনশীলতা এবং উদ্ভাবনের দিকে নিয়ে যায়,” ম্যাট জার্ভিস ব্যাখ্যা করেন, Snyk-এর বিকাশকারী সম্পর্ক পরিচালক৷ লিনাক্স ফাউন্ডেশনের সাথে একসাথে, আমরা বিশ্বব্যাপী বিকাশকারীদের আরও শিক্ষিত এবং সজ্জিত করার জন্য এই ফলাফলগুলি তৈরি করার পরিকল্পনা করছি, যাতে তারা নিরাপদে থাকার পাশাপাশি দ্রুত নির্মাণ চালিয়ে যেতে সক্ষম হয়।"
অন্যান্য ফলাফলের মধ্যে, মাত্র 49% সংস্থার একটি নিরাপত্তা নীতি আছে বিনামূল্যে সফ্টওয়্যার বিকাশ বা ব্যবহারের জন্য (এবং এই সংখ্যাটি মাঝারি এবং বড় কোম্পানিগুলির জন্য মাত্র 27%)। যদিও বিনামূল্যের সফ্টওয়্যার নিরাপত্তা নীতি ছাড়াই 30% সংস্থাগুলি খোলাখুলিভাবে স্বীকার করে যে তাদের দলের কেউ বিনামূল্যে সফ্টওয়্যার নিরাপত্তার সাথে সরাসরি লেনদেন করে না।
সাপ্লাই চেইন জটিলতাও একটি সমস্যা, উত্তরদাতাদের এক চতুর্থাংশেরও বেশি ইঙ্গিত করে যে তারা তাদের সরাসরি নির্ভরতার নিরাপত্তা প্রভাব সম্পর্কে উদ্বিগ্ন। শুধুমাত্র 18% বলে যে তারা যে নিয়ন্ত্রণগুলি ব্যবহার করে তাতে তারা আত্মবিশ্বাসী।
এই বিন্দু পর্যন্ত, দুটি পরিস্থিতি হাইলাইট করা গুরুত্বপূর্ণ, প্রথম তাদের হয় সময়ে বিকাশকারীরা একটি উপাদান যোগ করে আপনার অ্যাপ্লিকেশনে ওপেন সোর্স, আপনি অবিলম্বে সেই উপাদানের উপর নির্ভরশীল হয়ে পড়ে এবং ঝুঁকিতে থাকে যদি সেই উপাদানটিতে দুর্বলতা থাকে।
আরেকটি এবং যেটি সাম্প্রতিক বছরগুলিতে প্রায়শই দেখা গেছে তা হল যে এই ঝুঁকিটি পরোক্ষ বা ট্রানজিটিভ নির্ভরতাগুলির দ্বারাও বৃদ্ধি পাচ্ছে, যা "অন্যান্য নির্ভরতা" এর নির্ভরতা, এখানে অনেক বিকাশকারী এই নির্ভরতাগুলি সম্পর্কেও জানেন না, যা এটিকে এমনকি করে তোলে ট্র্যাক এবং রক্ষা করা কঠিন।
এটির মাধ্যমে, আমরা কিছুটা বুঝতে পারি যে প্রতিবেদনটি দেখায় যে এই ঝুঁকিটি কতটা বাস্তব, প্রতিটি অ্যাপ্লিকেশন মূল্যায়নের অনেকগুলি সরাসরি নির্ভরতার মধ্যে কয়েক ডজন দুর্বলতা আবিষ্কৃত হয়েছে। এটি বলেছে, কিছু পরিমাণে, উত্তরদাতারা আজকের সফ্টওয়্যার সরবরাহ শৃঙ্খলে ওপেন সোর্স দ্বারা তৈরি নিরাপত্তা জটিলতা সম্পর্কে সচেতন:
উত্তরদাতাদের এক-চতুর্থাংশেরও বেশি বলেছেন যে তারা তাদের প্রত্যক্ষ নির্ভরতার নিরাপত্তার প্রভাব সম্পর্কে উদ্বিগ্ন; মাত্র 18% উত্তরদাতা বলেছেন যে তারা তাদের ট্রানজিটিভ নির্ভরতার জন্য তাদের নিয়ন্ত্রণে বিশ্বাস করেন; এবং, সমস্ত দুর্বলতার চল্লিশ শতাংশ ট্রানজিটিভ নির্ভরতা পাওয়া গেছে।
এটি উল্লেখ করাও গুরুত্বপূর্ণ যে এই সংস্থাগুলি বা বিকাশকারীরা তাদের ব্যবহার করা সফ্টওয়্যারগুলির সাথে "নিরাপদ" না হলে, আমাদের মধ্যে অনেকেই সবচেয়ে যৌক্তিক জিনিসটি মনে করবে, যাতে তারা "অর্থ প্রদান" বা "উন্নয়ন সমর্থন করে, হয় সম্পদ বরাদ্দ করে বা বিকাশকারীরা", কিন্তু এখানে এই পয়েন্টে যেখানে ওপেন সোর্স সফ্টওয়্যারের একটি দুর্দান্ত বিতর্ক আসে, যেখানে ওপেন সোর্সকে "পেইড" করা উচিত।
যেমন, ওপেন সোর্স সফ্টওয়্যারের অনেক উদাহরণ রয়েছে যা দুটি সংস্করণ পরিচালনা করে, যা অর্থপ্রদান এবং বিনামূল্যে এবং এমনকি শুধুমাত্র অর্থপ্রদান করা হয়, তবে উত্স কোড উপলব্ধ।
অন্যদিকে, বিকাশকারী এবং বড় কোম্পানিগুলির দ্বারাও আন্দোলন হয়েছে, যেখানে তারা ডিস্ট্রিবিউশন মডেল পরিবর্তন করার বা পেমেন্ট মডেলে যাওয়ার সিদ্ধান্ত নিয়েছে, উদাহরণস্বরূপ QT।
আরও না, যারা এটি সম্পর্কে আরও জানতে আগ্রহী তাদের জন্য নোট সম্পর্কে, আপনি বিস্তারিত পরামর্শ করতে পারেন নিম্নলিখিত লিঙ্ক।