Vulnerabilite Sekirite nan lojisyèl sous louvri pafwa ale detekte pou plis pase kat ane. Sa a se youn nan rezilta kle yo nan dènye eta rapò Octoverse la nan lojisyèl an GitHub lojisyèl devlopman ak platfòm jesyon.
Sepandan, deklarasyon sa a se pa totalman vre, depi ki baze sou avans teknolojik ak lefèt ke nan dènye ane yo anpil gwo konpayi yo ak devlopè yo te rantre nan lojisyèl sous louvri, sa a te pèmèt pou yon avanse de pli zan pli akselere an tèm de devlopman, kreyasyon zouti pou fè tès ak espesyalman deteksyon vilnerabilite.
Malgre ke li se toujou yon reyalite se ke finansman ensifizan (ki mennen nan yon rediksyon nan resous imen) se pi fò nan tan an yon obstak nan rechèch la ak dekouvèt frajilite sa yo.
Heartbleed, pou egzanp, se yon vilnerabilite nan lojisyèl prezan nan bibliyotèk la kriptografik OpenSSL depi mas 2012. Pèmèt yon atakè li memwa a nan yon sèvè oswa kliyan refè itilize pandan yon kominikasyon ak Transpò Kouch Pwotokòl la Sekirite (TLS). Defo a ki afekte anpil sèvis entènèt pa te dekouvri jouk nan mwa mas 2014 e li te fè piblik nan mwa avril 2014. Sa kite yon fenèt de ane pou entru yo atake dè milye de serveurs.
Vulnerabilite a swadizan te fini nan depo a OpenSSL pa erè apre yon pwopozisyon ki soti nan yon pwomotè volontè yo ranje pinèz ak amelyore karakteristik.
Domaj yo nan kalite sa a (antre pa erè) reprezante 83% nan moun ki dekouvri nan pwojè yo louvri sous anime sou GitHub. Sepandan, dènye eta rapò Octoverse la deklare ke 17% se frajilite entansyonèlman entwodwi pa twazyèm pati move.
Sa yo se figi ki ta dwe complétée pa yon dènye rapò Risksense ki mete aksan sou ke defo nan lojisyèl sous louvri yo toujou ap grandi. Pwojè IT yo de pli zan pli baze sou sous louvri, ki eksplike enterè k ap grandi nan entru nan jaden an.
Yon vilnerabilite ka fè ravaj sou travay ou ak lakòz gwo-echèl pwoblèm sekirite. Sepandan, pifò frajilite yo se akòz pinèz, pa atak move.
Lè ou konte sou sous louvri lè ou kapab, ekip ou a benefisye de tout ranje yo jwenn ak remèd pa kominote a. Tan reparasyon se yon eleman enpòtan pou tout ekip DevOps
Modèl finansman an soti nan esfè a sous louvri se pami faktè ki gen plis chans pou eksplike poukisa frajilite lojisyèl yo Yo ale inapèsi pandan moman enpòtan sa yo. Inisyativ enfrastrikti santral la (CII) se youn nan kèk pwojè pou finanse ak sipòte pwojè lojisyèl gratis epi louvri sous ki esansyèl pou fonksyone entènèt la ak lòt gwo sistèm enfòmasyon yo.
Pifò nan pwojè yo sou GitHub yo baze sou lojisyèl sous louvri. Analiz sa a enkli repozitwa louvri sous piblik yo ak omwen yon kontribisyon nan chak mwa ant 10.1.2019 ak 30.09.2020.
Lèt la te sijè a nan yon anons apre frajilite a kritik Heartbleed nan OpenSSL ki itilize pa dè milyon de sit entènèt. Pwoblèm: CII depann sou kontribisyon ki soti nan byen etabli jwè yo nan mond lan nan lojisyèl propriétaires. Facebook, VMWare, Microsoft, Comcast, ak Oracle (pou non sèlman konpayi sa yo) finanse Fondasyon Linux, epi konsa pwojè tankou Inisyativ enfrastrikti santral (CII).
Sa a ba yo plas sou tablo yo divès kalite pou pran desizyon ak Se poutèt sa kèk kontwòl sou sa k ap pase nan tèren an sous louvri. Bryan Lunduke, yon ansyen manm Komisyon Konsèy openSUSE, diskite eta sa a nan zafè an plis detay.
Konsekans imedya a se sa pwojè louvri sous ki benefisye de finansman se moun ki enfrastrikti yo sitou baze.
Finalman, si ou enterese nan konnen plis bagay sou li, ou ka konsilte sit entènèt sa a kote ou ka jwenn rapò yo kolekte yo.
Se pou premye a fè kòmantè