For nylig er udgivelsen af en ny rapport fra udviklersikkerhedsfirmaet Snyk og Linux Foundation, om deres fælles forskning i tilstanden af open source-softwaresikkerhed.
I dit indlæg detaljer, at resultaterne ikke er opmuntrende for virksomhederne, derefter der er en lang række væsentlige sikkerhedsrisici som følge af den udbredte brug af open source-software inden for moderne applikationsudvikling, samt hvor mange organisationer, der i øjeblikket er dårligt forberedte til at håndtere disse risici effektivt.
Konkret fandt rapporten:
Mere end fire ud af ti (41%) organisationer er ikke særlig sikre på sikkerheden af deres open source-software;
Det gennemsnitlige applikationsudviklingsprojekt har 49 sårbarheder og 80 direkte afhængigheder (åben kildekode kaldet af et projekt); Y,
Den tid, det tager at rette op på sårbarheder i open source-projekter, er støt stigende, mere end fordoblet fra 49 dage i 2018 til 110 dage i 2021.
Det nævnes det generelt et projekt applikationsudvikling har et gennemsnit på 49 sårbarheder og 80 direkte afhængigheder. Derudover er den tid, der kræves til at rette sårbarheder i open source-projekter, steget støt, mere end fordoblet fra 49 dage i 2018 til 110 dage i 2021.
»Dagens softwareudviklere har deres egne forsyningskæder: I stedet for at samle bildele samler de kode ved at forbinde eksisterende open source-komponenter med deres unikke kode. Hvis dette fører til øget produktivitet og innovation,” forklarer Matt Jarvis, Director of Developer Relations hos Snyk. Sammen med Linux Foundation planlægger vi at bygge videre på disse resultater for at videreuddanne og udstyre udviklere rundt om i verden, hvilket gør dem i stand til at fortsætte med at bygge hurtigt, mens de forbliver sikre."
Blandt andre resultater, kun 49 % af organisationerne har en sikkerhedspolitik til udvikling eller brug af fri software (og dette tal er kun 27 % for mellemstore og store virksomheder). Mens 30 % af organisationer uden en fri softwaresikkerhedspolitik åbent anerkender, at ingen i deres team beskæftiger sig direkte med fri softwaresikkerhed.
Forsyningskædens kompleksitet er også et problem, hvor mere end en fjerdedel af de adspurgte angiver, at de er bekymrede over sikkerhedseffekten af deres direkte afhængighed. Kun 18 % siger, at de er sikre på de kontroller, de bruger.
Op til dette punkt Det er vigtigt at fremhæve to situationer, den første af dem er på det tidspunkt, udviklere tilføjer en komponent open source i dine applikationer, er du med det samme blive afhængig af den komponent og er i fare, hvis denne komponent indeholder sårbarheder.
Den anden og som er set hyppigt i de senere år er, at denne risiko også forværres af indirekte eller transitive afhængigheder, som er afhængighederne af de "andre afhængigheder", her kender mange udviklere ikke engang til disse afhængigheder, hvilket gør det endda sværere at spore og beskytte.
Med dette kan vi forstå lidt, at rapporten viser, hvor reel denne risiko er, med snesevis af sårbarheder opdaget i mange direkte afhængigheder i hver applikation, der evalueres. Når det er sagt, er respondenterne til en vis grad opmærksomme på sikkerhedskompleksiteterne skabt af open source i nutidens softwareforsyningskæde:
Mere end en fjerdedel af de adspurgte sagde, at de er bekymrede over sikkerhedsvirkningen af deres direkte afhængigheder, kun 18 % af de adspurgte sagde, at de stolede på de kontroller, de har for deres transitive afhængigheder; og fyrre procent af alle sårbarheder blev fundet i transitive afhængigheder.
Det er også vigtigt at nævne, at hvis disse virksomheder eller udviklere ikke er "sikre" med den software, de bruger, vil mange af os tænke på det mest logiske, så de "betaler" eller "understøtter udvikling, enten ved at allokere ressourcer eller udviklere", men her i dette punkt er det, hvor en af de store debatter om open source-software kommer ind, hvor hvis open source skal "betales".
Som sådan er der mange eksempler på open source-software, der håndterer to versioner, som er betalt og gratis, og endda kun betalt, men kildekoden er tilgængelig.
På den anden side har der også været bevægelser fra udviklere og store virksomheder, hvor de beslutter sig for at ændre distributionsmodellen eller gå over til en betalingsmodel, for eksempel QT.
Uden mere, for dem der er interesseret i at vide mere om det om noten, kan du se detaljerne i følgende link.