Fa poc es va donar a conèixer la publicació de un nou informe de la signatura de seguretat per a desenvolupadors Snyk i la Fundació Linux, sobre la investigació que van realitzar en conjunt de l'estat de la seguretat del programari de codi obert.
En la seva publicació detallen que els resultats no resulten encoratjadors per a les empreses, doncs hi ha una gran varietat de riscos de seguretat significatius que resulten de l'ús generalitzat de programari de codi obert dins el desenvolupament d'aplicacions modernes, així com quantes organitzacions estan mal preparades actualment per administrar aquests riscos de manera efectiva.
Específicament, l'informe va trobar:
Més de quatre de cada deu (41%) organitzacions no tenen gaire confiança en la seguretat del programari de codi obert;
El projecte de desenvolupament d'aplicacions mitjana té 49 vulnerabilitats i 80 dependències directes (codi font obert anomenat per un projecte); i,
El temps que es triga a corregir vulnerabilitats en projectes de codi obert ha augmentat constantment, més del doble de 49 dies el 2018 a 110 dies el 2021.
S'esmenta que en general un projecte de desenvolupament d'aplicacions té una mitjana de 49 vulnerabilitats i 80 dependències directes. A més, el temps requerit per solucionar vulnerabilitats en projectes de codi obert ha augmentat constantment, més del doble de 49 dies el 2018 a 110 dies el 2021.
» Els desenvolupadors de programari d'avui tenen les seves pròpies cadenes de subministrament: en lloc d'acoblar peces d'automòbils, ensamblen codi unint els components de codi obert existents amb el codi únic. Si això condueix a una major productivitat i innovació”, explica Matt Jarvis, Director de Relacions amb els Desenvolupadors de Snyk. Juntament amb la Fundació Linux, planegem aprofitar aquestes troballes per educar i equipar encara més els desenvolupadors de tot el món, permetent seguir construint ràpid, mentre es mantenen segurs ».
Entre altres resultats, només el 49% de les organitzacions tenen una política de seguretat per al desenvolupament o ús de programari lliure (i aquesta xifra és només del 27% per a mitjanes i grans empreses). Mentre que el 30% de les organitzacions sense una política de seguretat de programari lliure reconeixen obertament que ningú al seu equip s'ocupa directament de la seguretat del programari lliure.
La complexitat de la cadena de subministrament també és un problema, amb més d'una quarta part dels enquestats indicant que estan preocupats per l'impacte de seguretat de les dependències directes. Només el 18% diu que té confiança en els controls que maneja.
Fins a aquest punt, és important ressaltar dues situacions, la primera d'elles és en el moment en què els desenvolupadors incorporen un component de codi obert a les seves aplicacions, aquestes immediatament es tornen dependents d'aquest component i estan en risc si aquest component conté vulnerabilitats.
L'altra i que s'ha vist freqüentment en els darrers anys és que aquest risc també es veu agreujat per les dependències indirectes o transitives, que són les dependències de les «altres dependències», aquí molts desenvolupadors ni tan sols coneixen aquestes dependències, cosa que les fa encara més difícils de rastrejar i protegir.
Amb això, podem entendre una mica que l'informe mostra com és de real aquest risc, amb dotzenes de vulnerabilitats descobertes en moltes dependències directes en cada aplicació avaluada. Dit això, fins a cert punt, els enquestats són conscients de les complexitats de seguretat creades pel codi obert a la cadena de subministrament de programari actual:
Més d'una quarta part dels enquestats van assenyalar que els preocupa l'impacte en la seguretat de les dependències directes; Només el 18% dels enquestats van dir que confien en els controls que tenen per a les dependències transitives; i,El quaranta per cent de totes les vulnerabilitats es van trobar en dependències transitives.
També és important esmentar que si aquestes empreses o desenvolupadors no estan «segurs» amb el programari que utilitzen, molts pensarem en el més lògic, ja que «paguin» o «donin suport al desenvolupament, ja sigui destinant recursos o desenvolupadors», però aquí a aquest punt és on entra un dels grans debats del programari de codi obert, on si l'open source ha de ser de “paga”.
Com a tal hi ha molts exemples de programari de codi obert que maneja dues versions, que són de paga i gratuït, i fins i tot que només és de paga, pitjor el codi font està disponible.
D'altra banda, també s'han vist moviments per part de desenvolupadors i grans empreses, en el qual decideixen canviar el model de distribució o passar a un model de pagament, per exemple QT.
Sense més, per a aquells interessats a poder conèixer més sobre això sobre la nota, podeu consultar els detalls a el següent enllaç.