Πρόσφατα, η δημοσίευση του μια νέα αναφορά από την εταιρεία ασφαλείας προγραμματιστών Snyk και το Linux Foundation, σχετικά με την κοινή τους έρευνα για την κατάσταση της ασφάλειας λογισμικού ανοιχτού κώδικα.
Στην ανάρτησή σας λεπτομέρεια ότι τα αποτελέσματα δεν είναι ενθαρρυντικά για τις εταιρείες, καλά υπάρχει μεγάλη ποικιλία σημαντικών κινδύνων για την ασφάλεια που προκύπτει από την ευρεία χρήση λογισμικού ανοιχτού κώδικα στο πλαίσιο της σύγχρονης ανάπτυξης εφαρμογών, καθώς και από το πόσοι οργανισμοί είναι επί του παρόντος ανεπαρκώς προετοιμασμένοι για να διαχειριστούν αποτελεσματικά αυτούς τους κινδύνους.
Συγκεκριμένα, η έκθεση διαπίστωσε:
Περισσότεροι από τέσσερις στους δέκα (41%) οργανισμούς δεν είναι πολύ σίγουροι για την ασφάλεια του λογισμικού ανοιχτού κώδικα τους.
Το μέσο έργο ανάπτυξης εφαρμογών έχει 49 τρωτά σημεία και 80 άμεσες εξαρτήσεις (ανοιχτός κώδικας που ονομάζεται από ένα έργο). Υ,
Ο χρόνος που χρειάζεται για να διορθωθούν τα τρωτά σημεία σε έργα ανοιχτού κώδικα αυξάνεται σταθερά, υπερδιπλασιάζοντας από 49 ημέρες το 2018 σε 110 ημέρες το 2021.
Αναφέρεται ότι γενικά ένα έργο ανάπτυξη εφαρμογής έχει κατά μέσο όρο 49 τρωτά σημεία και 80 άμεσες εξαρτήσεις. Επιπλέον, ο χρόνος που απαιτείται για τη διόρθωση των τρωτών σημείων σε έργα ανοιχτού κώδικα αυξάνεται σταθερά, υπερδιπλασιάζοντας από 49 ημέρες το 2018 σε 110 ημέρες το 2021.
» Οι σημερινοί προγραμματιστές λογισμικού έχουν τις δικές τους αλυσίδες εφοδιασμού: αντί να συναρμολογούν ανταλλακτικά αυτοκινήτων, συναρμολογούν κώδικα ενώνοντας υπάρχοντα εξαρτήματα ανοιχτού κώδικα με τον μοναδικό τους κώδικα. Εάν αυτό οδηγεί σε αυξημένη παραγωγικότητα και καινοτομία», εξηγεί ο Matt Jarvis, Διευθυντής Σχέσεων Προγραμματιστών στη Snyk. Μαζί με το Ίδρυμα Linux, σχεδιάζουμε να αξιοποιήσουμε αυτά τα ευρήματα για να εκπαιδεύσουμε περαιτέρω και να εξοπλίσουμε τους προγραμματιστές σε όλο τον κόσμο, δίνοντάς τους τη δυνατότητα να συνεχίσουν να χτίζουν γρήγορα, παραμένοντας ασφαλείς».
Μεταξύ άλλων αποτελεσμάτων, μόνο το 49% των οργανισμών έχουν πολιτική ασφάλειας για την ανάπτυξη ή τη χρήση ελεύθερου λογισμικού (και αυτό το ποσοστό είναι μόνο 27% για τις μεσαίες και μεγάλες εταιρείες). Ενώ το 30% των οργανισμών χωρίς πολιτική ασφάλειας ελεύθερου λογισμικού αναγνωρίζει ανοιχτά ότι κανείς στην ομάδα τους δεν ασχολείται άμεσα με την ασφάλεια του ελεύθερου λογισμικού.
Η πολυπλοκότητα της εφοδιαστικής αλυσίδας είναι επίσης ένα ζήτημα, με περισσότερο από το ένα τέταρτο των ερωτηθέντων να δηλώνουν ότι ανησυχούν για τον αντίκτυπο στην ασφάλεια των άμεσων εξαρτήσεών τους. Μόνο το 18% δηλώνει σίγουρος για τους ελέγχους που χειρίζονται.
Μέχρι τώρα, Είναι σημαντικό να επισημάνουμε δύο καταστάσεις, ο πρώτος από αυτά είναι εκείνη τη στιγμή οι προγραμματιστές προσθέτουν ένα στοιχείο ανοιχτού κώδικα στις εφαρμογές σας, είστε αμέσως εξαρτώνται από αυτό το συστατικό και κινδυνεύουν εάν αυτό το στοιχείο περιέχει τρωτά σημεία.
Το άλλο και που έχει παρατηρηθεί συχνά τα τελευταία χρόνια είναι ότι αυτός ο κίνδυνος επιδεινώνεται επίσης από έμμεσες ή μεταβατικές εξαρτήσεις, οι οποίες είναι οι εξαρτήσεις των "άλλων εξαρτήσεων", εδώ πολλοί προγραμματιστές δεν γνωρίζουν καν για αυτές τις εξαρτήσεις, γεγονός που το κάνει ακόμη και πιο δύσκολο να εντοπιστεί και να προστατευτεί.
Με αυτό, μπορούμε να καταλάβουμε λίγο ότι η αναφορά δείχνει πόσο πραγματικός είναι αυτός ο κίνδυνος, με δεκάδες τρωτά σημεία που ανακαλύπτονται σε πολλές άμεσες εξαρτήσεις σε κάθε εφαρμογή που αξιολογείται. Τούτου λεχθέντος, σε κάποιο βαθμό, οι ερωτηθέντες γνωρίζουν τις πολυπλοκότητες ασφαλείας που δημιουργούνται από τον ανοιχτό κώδικα στη σημερινή αλυσίδα εφοδιασμού λογισμικού:
Περισσότεροι από το ένα τέταρτο των ερωτηθέντων δήλωσαν ότι ανησυχούν για τον αντίκτυπο στην ασφάλεια των άμεσων εξαρτήσεών τους· μόνο το 18% των ερωτηθέντων δήλωσε ότι εμπιστεύεται τους ελέγχους που έχουν για τις μεταβατικές εξαρτήσεις τους. και, Σαράντα τοις εκατό όλων των τρωτών σημείων βρέθηκαν σε μεταβατικές εξαρτήσεις.
Είναι επίσης σημαντικό να αναφέρουμε ότι εάν αυτές οι εταιρείες ή προγραμματιστές δεν είναι «ασφαλείς» με το λογισμικό που χρησιμοποιούν, πολλοί από εμάς θα σκεφτούμε το πιο λογικό πράγμα, ώστε να «πληρώσουν» ή να «υποστηρίξουν την ανάπτυξη, είτε κατανέμοντας πόρους είτε προγραμματιστές», αλλά εδώ σε αυτό το σημείο έρχεται μια από τις μεγάλες συζητήσεις για το λογισμικό ανοιχτού κώδικα, όπου θα έπρεπε να «πληρωθεί» ο ανοιχτός κώδικας.
Ως εκ τούτου, υπάρχουν πολλά παραδείγματα λογισμικού ανοιχτού κώδικα που χειρίζεται δύο εκδόσεις, οι οποίες είναι επί πληρωμή και δωρεάν, ακόμη και μόνο επί πληρωμή, αλλά ο πηγαίος κώδικας είναι διαθέσιμος.
Από την άλλη, υπήρξαν και κινήσεις από προγραμματιστές και μεγάλες εταιρείες, στις οποίες αποφασίζουν να αλλάξουν το μοντέλο διανομής ή να περάσουν σε ένα μοντέλο πληρωμών, για παράδειγμα το QT.
Χωρίς περισσότερα, για όσους ενδιαφέρονται να μάθουν περισσότερα για αυτό σχετικά με τη σημείωση, μπορείτε να συμβουλευτείτε τις λεπτομέρειες στο τον ακόλουθο σύνδεσμο.