Sigurnosne ranjivosti u softveru otvorenog koda ponekad ostaju neotkrivene više od četiri godine. Ovo je jedan od ključnih nalaza najnovijeg izvještaja State of the Octoverse platforme za upravljanje razvojem softvera i hosting GitHub.
Međutim, Ova izjava nije u potpunosti tačna, od tada zasnovano na tehnološkom napretku i da su se posljednjih godina mnoge velike kompanije i programeri pridružili softveru otvorenog koda, to je omogućilo sve brži napredak u smislu razvoja, kreiranja alata za testiranje i, prije svega, otkrivanja ranjivosti.
Iako je to još uvijek realnost, nedovoljno finansiranje (što dovodi do smanjenja ljudskih resursa) je najčešće prepreka u potrazi i otkrivanje ovih ranjivosti.
Heartbleed, na primjer, je ranjivost softvera koji je prisutan u kripto biblioteci OpenSSL od marta 2012. Omogućava napadaču da pročita serversku ili klijentovu memoriju za preuzimanje koja se koristi tokom komunikacije Transport Layer Security (TLS). Greška koja utiče na mnoge internet servise nije otkrivena do marta 2014. godine i objavljena je u aprilu 2014. To je ostavilo dvogodišnji period za hakere da napadnu hiljade servera.
Ranjivost je navodno greškom završila u OpenSSL spremištu nakon prijedloga dobrovoljnog programera da se isprave greške i poboljšaju funkcije.
Defekti ove vrste (uvedeno greškom) Oni predstavljaju 83% onih otkrivenih u projektima open source hostiran na GitHubu. Međutim, najnoviji izvještaj State of the Octoverse navodi da su 17% ranjivosti koje su namjerno unele zlonamjerne treće strane.
Ovo su brojke koje se moraju dopuniti onima iz nedavnog izvještaja Risksensa koji naglašava da nedostaci u softveru otvorenog koda stalno rastu. IT projekti se sve više baziraju na otvorenom kodu, što objašnjava sve veći interes hakera u tom području.
Ranjivost može izazvati haos na vašem radu i uzrokovati velike sigurnosne probleme. Međutim, većina ranjivosti je uzrokovana greškama, a ne zlonamjernim napadima.
Oslanjajući se na otvoreni izvor kada možete, vaš tim će imati koristi od svih popravaka koje je pronašla i ispravila zajednica. Vrijeme za sanaciju je važna komponenta za sve DevOps timove
Model finansiranja iz sfere otvorenog koda jedan je od faktora koji će najvjerovatnije objasniti zašto softverske ranjivosti Oni ostaju neprimećeni u tako važnim trenucima. Inicijativa za jezgru infrastrukture (CII) jedan je od rijetkih projekata koji finansiraju i podržavaju projekte besplatnog softvera otvorenog koda koji su neophodni za funkcioniranje Interneta i drugih velikih informacionih sistema.
Većina projekata na GitHubu bazirana je na softveru otvorenog koda. Ova analiza uključila je javna spremišta otvorenog koda s najmanje jednim doprinosom svakog mjeseca između 10.1.2019. i 30.09.2020.
Potonji je bio predmet najave nakon kritične Heartbleed ranjivosti u OpenSSL-u koja se koristi na milionima web stranica. Problem: CII je zasnovan na doprinosima dobro etabliranih igrača u svijetu vlasničkog softvera. Facebook, VMWare, Microsoft, Comcast i Oracle (da navedemo samo ove kompanije) finansiraju Linux fondaciju i stoga projekte poput Core Infrastructure Initiative (CII).
To im daje mjesta u raznim odborima za donošenje odluka i stoga određenu kontrolu nad onim što se dešava u sferi otvorenog koda. Bryan Lunduke, bivši član Upravnog odbora openSUSE-a, detaljnije raspravlja o ovom stanju stvari.
Neposredna posljedica je to projekti otvorenog koda koji imaju koristi od finansiranja Oni su oni na kojima se uglavnom zasniva njihova infrastruktura.
Na kraju, ako ste zainteresirani da saznate više o tome, možete pogledati sljedeću web stranicu na kojoj možete pronaći sastavljene izvještaje.