Hiljuti avaldati arendaja turvafirma Snyk ja Linux Foundationi uus aruanne, nende ühisest avatud lähtekoodiga tarkvara turvalisuse olukorra uurimisest.
Teie postituses täpsustada, et tulemused ei ole ettevõtete jaoks julgustavad, nii seal on palju erinevaid olulisi turvariske mis tuleneb avatud lähtekoodiga tarkvara laialdasest kasutamisest kaasaegses rakenduste arenduses, samuti kui paljud organisatsioonid on praegu halvasti ette valmistatud nende riskide tõhusaks maandamiseks.
Täpsemalt leiti aruandest:
Rohkem kui neli kümnest (41%) organisatsioonist ei ole oma avatud lähtekoodiga tarkvara turvalisuses kuigi kindlad;
Keskmisel rakenduste arendusprojektil on 49 haavatavust ja 80 otsest sõltuvust (projekti poolt kutsutud avatud lähtekoodiga); ja
Avatud lähtekoodiga projektides haavatavuste parandamiseks kuluv aeg on pidevalt pikenenud, enam kui kahekordistunud 49 päevalt 2018. aastal 110 päevale 2021. aastal.
Seda mainitakse üldiselt projekt rakenduste arendamine on keskmiselt 49 haavatavust ja 80 otsest sõltuvust. Lisaks on avatud lähtekoodiga projektides haavatavuste parandamiseks kuluv aeg pidevalt pikenenud, enam kui kahekordistunud 49 päevalt 2018. aastal 110 päevale 2021. aastal.
» Tänapäevastel tarkvaraarendajatel on oma tarneahelad: autoosade kokkupanemise asemel panevad nad kokku koodi, ühendades olemasolevad avatud lähtekoodiga komponendid oma unikaalse koodiga. Kui see suurendab tootlikkust ja innovatsiooni,” selgitab Matt Jarvis, Snyki arendajasuhete direktor. Koos Linuxi sihtasutusega kavatseme nendele leidudele tugineda arendajate edasiseks harimiseks ja varustamiseks kogu maailmas, võimaldades neil jätkata kiiret ehitamist, jäädes samas turvaliseks.
Muude tulemuste hulgas vaid 49% organisatsioonidest on oma turvapoliitika tasuta tarkvara arendamiseks või kasutamiseks (ja see näitaja on keskmiste ja suurte ettevõtete puhul vaid 27%). Kuigi 30% organisatsioonidest, kellel pole vaba tarkvara turvapoliitikat, tunnistavad avalikult, et keegi nende meeskonnast ei tegele otseselt vaba tarkvara turvalisusega.
Probleemiks on ka tarneahela keerukus, kusjuures enam kui veerand vastajatest märkis, et nad on mures oma otsese sõltuvuse mõju pärast turvalisusele. Vaid 18% ütleb, et on oma kontrollides kindlad.
Kuni selle punktini Oluline on esile tuua kaks olukorda, esimene neist on sel ajal, kui arendajad lisavad komponendi avatud lähtekoodiga oma rakendustes, olete kohe muutuda sellest komponendist sõltuvaks ja on ohus, kui see komponent sisaldab turvaauke.
Teine ja viimastel aastatel sageli nähtud on see, et seda riski suurendavad ka kaudsed või transitiivsed sõltuvused, mis on "teiste sõltuvuste" sõltuvused, siin paljud arendajad ei tea neist sõltuvustest isegi midagi, mis muudab selle isegi raskem jälgida ja kaitsta.
Selle põhjal saame pisut aru, et aruanne näitab, kui reaalne see risk on, kuna iga hinnatud rakenduse puhul on avastatud kümneid haavatavusi paljudes otsestes sõltuvustes. Sellegipoolest on vastajad teatud määral teadlikud avatud lähtekoodiga loodud turvalisuse keerukusest tänapäeva tarkvara tarneahelas:
Enam kui veerand vastajatest ütles, et tunneb muret oma otsese sõltuvuse mõju pärast turvalisusele; ainult 18% vastajatest ütles, et nad usaldavad oma transitiivsete sõltuvuste kontrollimehhanisme. ja XNUMX protsenti kõigist haavatavustest leiti transitiivsetes sõltuvustes.
Samuti on oluline mainida, et kui nendel ettevõtetel või arendajatel pole kasutatava tarkvaraga "turvaline", mõtlevad paljud meist kõige loogilisema asja, et nad "maksavad" või "toetavad arendust, kas eraldades ressursse või arendajad", kuid siin tulebki sisse üks suuri arutelusid avatud lähtekoodiga tarkvara üle, kus avatud lähtekoodiga peaks olema "tasuline".
Sellisena on palju näiteid avatud lähtekoodiga tarkvarast, mis käsitleb kahte versiooni, mis on tasulised ja tasuta ning isegi ainult tasulised, kuid lähtekood on saadaval.
Teisalt on toimunud ka arendajate ja suurettevõtete liikumisi, mille käigus otsustatakse muuta levitamismudelit või minnakse üle maksemudelile, näiteks QT-le.
Ilma enamateta neile, kes soovivad selle kohta rohkem teada saada Märkme kohta saate üksikasju vaadata järgmine link.