हाल ही में, का प्रकाशन डेवलपर सुरक्षा फर्म Snyk और Linux Foundation की एक नई रिपोर्ट, ओपन सोर्स सॉफ़्टवेयर सुरक्षा की स्थिति में उनके संयुक्त शोध के बारे में।
अपनी पोस्ट में विस्तार से बताएं कि परिणाम कंपनियों के लिए उत्साहजनक नहीं हैं, के लिए महत्वपूर्ण सुरक्षा जोखिमों की एक विस्तृत विविधता है आधुनिक अनुप्रयोग विकास के भीतर ओपन सोर्स सॉफ़्टवेयर के व्यापक उपयोग के परिणामस्वरूप, साथ ही साथ कितने संगठन वर्तमान में इन जोखिमों को प्रभावी ढंग से प्रबंधित करने के लिए तैयार नहीं हैं।
विशेष रूप से, रिपोर्ट मिली:
दस में से चार से अधिक (41%) संगठन अपने ओपन सोर्स सॉफ़्टवेयर की सुरक्षा में बहुत आश्वस्त नहीं हैं;
औसत अनुप्रयोग विकास परियोजना में 49 भेद्यताएँ और 80 प्रत्यक्ष निर्भरताएँ हैं (खुला स्रोत कोड जिसे किसी परियोजना द्वारा कहा जाता है); वाई,
ओपन सोर्स प्रोजेक्ट्स में कमजोरियों को ठीक करने में लगने वाला समय लगातार बढ़ रहा है, 49 में 2018 दिनों से बढ़कर 110 में 2021 दिन हो गया है।
यह उल्लेख है कि आम तौर पर एक परियोजना एप्लीकेशन का विकास औसतन 49 भेद्यताएं और 80 प्रत्यक्ष निर्भरताएं हैं. इसके अतिरिक्त, ओपन सोर्स प्रोजेक्ट्स में कमजोरियों को ठीक करने के लिए आवश्यक समय में लगातार वृद्धि हुई है, जो 49 में 2018 दिनों से बढ़कर 110 में 2021 दिनों से अधिक हो गया है।
»आज के सॉफ्टवेयर डेवलपर्स की अपनी आपूर्ति श्रृंखलाएं हैं: कार के पुर्जों को असेंबल करने के बजाय, वे मौजूदा ओपन सोर्स घटकों को उनके अद्वितीय कोड के साथ जोड़कर कोड असेंबल करते हैं। यदि इससे उत्पादकता और नवीनता में वृद्धि होती है, ”स्निक में डेवलपर संबंधों के निदेशक मैट जार्विस बताते हैं। लिनक्स फाउंडेशन के साथ मिलकर, हम दुनिया भर के डेवलपर्स को और शिक्षित और लैस करने के लिए इन निष्कर्षों पर निर्माण करने की योजना बना रहे हैं, जिससे वे सुरक्षित रहते हुए तेजी से निर्माण कर सकें।"
अन्य परिणामों में, केवल 49% संगठनों के पास सुरक्षा नीति है मुफ्त सॉफ्टवेयर के विकास या उपयोग के लिए (और मध्यम और बड़ी कंपनियों के लिए यह आंकड़ा केवल 27% है)। जबकि मुफ्त सॉफ्टवेयर सुरक्षा नीति के बिना 30% संगठन खुले तौर पर स्वीकार करते हैं कि उनकी टीम में कोई भी सीधे मुफ्त सॉफ्टवेयर सुरक्षा से संबंधित नहीं है।
आपूर्ति श्रृंखला जटिलता भी एक मुद्दा है, एक चौथाई से अधिक उत्तरदाताओं ने संकेत दिया कि वे अपनी प्रत्यक्ष निर्भरता के सुरक्षा प्रभाव के बारे में चिंतित हैं। केवल 18% का कहना है कि वे अपने नियंत्रण में विश्वास रखते हैं।
अब तक, दो स्थितियों को उजागर करना महत्वपूर्ण है, सबसे पहला उनमें से है जब डेवलपर्स एक घटक जोड़ते हैं आपके अनुप्रयोगों में खुला स्रोत, आप तुरंत हैं उस घटक पर निर्भर हो जाना और जोखिम में हैं यदि उस घटक में कमजोरियां हैं।
अन्य और जो हाल के वर्षों में अक्सर देखा गया है कि यह जोखिम अप्रत्यक्ष या संक्रमणीय निर्भरता से भी बढ़ जाता है, जो "अन्य निर्भरता" की निर्भरताएं हैं, यहां कई डेवलपर्स को इन निर्भरताओं के बारे में भी पता नहीं है, जो इसे बनाता है यहां तक कि ट्रैक करना और सुरक्षा करना कठिन है।
इसके साथ, हम थोड़ा समझ सकते हैं कि रिपोर्ट से पता चलता है कि यह जोखिम कितना वास्तविक है, मूल्यांकन किए गए प्रत्येक एप्लिकेशन में कई प्रत्यक्ष निर्भरताओं में दर्जनों कमजोरियों की खोज की गई है। उस ने कहा, कुछ हद तक, उत्तरदाताओं को आज की सॉफ्टवेयर आपूर्ति श्रृंखला में ओपन सोर्स द्वारा बनाई गई सुरक्षा जटिलताओं के बारे में पता है:
एक चौथाई से अधिक उत्तरदाताओं ने कहा कि वे अपनी प्रत्यक्ष निर्भरता के सुरक्षा प्रभाव के बारे में चिंतित हैं; केवल 18% उत्तरदाताओं ने कहा कि वे अपनी संक्रमणीय निर्भरता के लिए अपने नियंत्रण पर भरोसा करते हैं; और, सभी कमजोरियों का चालीस प्रतिशत सकर्मक निर्भरता में पाया गया।
यह उल्लेख करना भी महत्वपूर्ण है कि यदि ये कंपनियां या डेवलपर्स अपने द्वारा उपयोग किए जाने वाले सॉफ़्टवेयर के साथ "सुरक्षित" नहीं हैं, तो हम में से कई लोग सबसे तार्किक बात सोचेंगे, ताकि वे "भुगतान" या "समर्थन विकास, या तो संसाधनों का आवंटन करके या डेवलपर्स", लेकिन यहां इस बिंदु पर ओपन सोर्स सॉफ़्टवेयर की महान बहसों में से एक आता है, जहां ओपन सोर्स को "भुगतान" किया जाना चाहिए।
जैसे, ओपन सोर्स सॉफ्टवेयर के कई उदाहरण हैं जो दो संस्करणों को संभालते हैं, जो भुगतान और मुफ्त हैं, और यहां तक कि केवल भुगतान किया गया है, लेकिन स्रोत कोड उपलब्ध है।
दूसरी ओर, डेवलपर्स और बड़ी कंपनियों द्वारा भी आंदोलन किए गए हैं, जिसमें वे वितरण मॉडल को बदलने या भुगतान मॉडल में स्थानांतरित करने का निर्णय लेते हैं, उदाहरण के लिए क्यूटी।
अधिक के बिना, इसके बारे में अधिक जानने के इच्छुक लोगों के लिए नोट के बारे में, आप विवरण में देख सकते हैं निम्नलिखित लिंक।