Nedávno zveřejnění nová zpráva od vývojářské bezpečnostní firmy Snyk a Linux Foundation, o jejich společném výzkumu stavu bezpečnosti open source softwaru.
Ve vašem příspěvku detail, že výsledky nejsou pro firmy povzbudivé, Pues existuje celá řada významných bezpečnostních rizik vyplývající z rozsáhlého používání softwaru s otevřeným zdrojovým kódem v rámci vývoje moderních aplikací a také z toho, kolik organizací je v současné době špatně připraveno tato rizika efektivně řídit.
Konkrétně zpráva zjistila:
Více než čtyři z deseti (41 %) organizací si příliš nevěří v bezpečnost svého softwaru s otevřeným zdrojovým kódem;
Průměrný projekt vývoje aplikací má 49 zranitelností a 80 přímých závislostí (otevřený zdrojový kód volaný projektem); Y,
Doba potřebná k opravě zranitelných míst v projektech s otevřeným zdrojovým kódem se neustále zvyšuje, více než zdvojnásobila se ze 49 dnů v roce 2018 na 110 dnů v roce 2021.
Je to zmíněno obecně projekt vývoj aplikací má v průměru 49 zranitelností a 80 přímých závislostí. Čas potřebný k opravě zranitelností v projektech s otevřeným zdrojovým kódem se navíc neustále prodlužuje, a to více než zdvojnásobením ze 49 dnů v roce 2018 na 110 dnů v roce 2021.
» Dnešní vývojáři softwaru mají své vlastní dodavatelské řetězce: místo sestavování automobilových dílů sestavují kód spojením existujících open source komponent s jejich jedinečným kódem. Pokud to povede ke zvýšení produktivity a inovací,“ vysvětluje Matt Jarvis, ředitel pro vztahy s vývojáři ve společnosti Snyk. Společně s Linux Foundation plánujeme stavět na těchto zjištěních a dále vzdělávat a vybavovat vývojáře po celém světě, což jim umožní pokračovat v rychlém vývoji a přitom zůstat v bezpečí.“
Mimo jiné výsledky pouze 49 % organizací má bezpečnostní politiku pro vývoj nebo používání svobodného softwaru (a toto číslo je pouze 27 % pro střední a velké společnosti). Zatímco 30 % organizací bez zásad zabezpečení svobodného softwaru otevřeně přiznává, že nikdo z jejich týmu se zabezpečením svobodného softwaru přímo nezabývá.
Problémem je také složitost dodavatelského řetězce, přičemž více než čtvrtina respondentů uvedla, že mají obavy z bezpečnostního dopadu jejich přímých závislostí. Pouze 18 % uvedlo, že si jsou jisti ovládacími prvky, které ovládají.
Zatím, Je důležité upozornit na dvě situace, první z nich je v době, kdy vývojáři přidávají komponentu open source ve vašich aplikacích, jste okamžitě být na této složce závislý a jsou v ohrožení, pokud tato komponenta obsahuje zranitelnosti.
Další a to, co bylo v posledních letech často vidět, je, že toto riziko zvyšují i nepřímé nebo tranzitivní závislosti, což jsou závislosti „jiných závislostí“, zde mnoho vývojářů o těchto závislostech ani neví, takže je dokonce těžší sledovat a chránit.
Díky tomu můžeme trochu pochopit, že zpráva ukazuje, jak reálné toto riziko je, s desítkami zranitelností objevených v mnoha přímých závislostech v každé hodnocené aplikaci. Respondenti si však do určité míry uvědomují složitost zabezpečení vytvářenou open source v dnešním dodavatelském řetězci softwaru:
Více než čtvrtina respondentů uvedla, že se obávají bezpečnostního dopadu svých přímých závislostí, pouze 18 % respondentů uvedlo, že důvěřují kontrolám, které mají pro své přechodné závislosti; a,Čtyřicet procent všech zranitelností bylo nalezeno v tranzitivních závislostech.
Je také důležité zmínit, že pokud tyto společnosti nebo vývojáři nejsou „v bezpečí“ se softwarem, který používají, mnohé z nás napadne ta nejlogičtější věc, a to tak, že „zaplatí“ nebo „podporí vývoj, ať už alokací zdrojů nebo vývojáři“, ale zde v tomto bodě přichází na řadu jedna z velkých debat o softwaru s otevřeným zdrojovým kódem, kde by se měl open source „platit“.
Jako takový existuje mnoho příkladů open source softwaru, který zvládá dvě verze, které jsou placené a bezplatné, a dokonce pouze placené, ale zdrojový kód je dostupný.
Na druhou stranu došlo i k pohybům vývojářů a velkých společností, ve kterých se rozhodnou změnit distribuční model nebo přejít na platební model, například QT.
Bez dalších pro ty, kteří se o tom chtějí dozvědět více o poznámce, podrobnosti si můžete přečíst v následující odkaz.