Baru-baru ini, publikasi laporan baru dari perusahaan keamanan pengembang Snyk dan Linux Foundation, tentang penelitian bersama mereka tentang keadaan keamanan perangkat lunak sumber terbuka.
Di postingan Anda detail bahwa hasilnya tidak menggembirakan bagi perusahaan, pues ada berbagai macam risiko keamanan yang signifikan akibat meluasnya penggunaan perangkat lunak sumber terbuka dalam pengembangan aplikasi modern, serta banyaknya organisasi yang saat ini tidak siap untuk mengelola risiko ini secara efektif.
Secara khusus, laporan tersebut menemukan:
Lebih dari empat dari sepuluh (41%) organisasi tidak terlalu yakin dengan keamanan perangkat lunak sumber terbuka mereka;
Proyek pengembangan aplikasi rata-rata memiliki 49 kerentanan dan 80 dependensi langsung (kode sumber terbuka disebut oleh sebuah proyek); Y,
Waktu yang diperlukan untuk memperbaiki kerentanan dalam proyek sumber terbuka terus meningkat, lebih dari dua kali lipat dari 49 hari pada 2018 menjadi 110 hari pada 2021.
Disebutkan itu umumnya proyek pengembangan aplikasi memiliki rata-rata 49 kerentanan dan 80 dependensi langsung. Selain itu, waktu yang dibutuhkan untuk memperbaiki kerentanan dalam proyek open source terus meningkat, lebih dari dua kali lipat dari 49 hari pada 2018 menjadi 110 hari pada 2021.
» Pengembang perangkat lunak saat ini memiliki rantai pasokan mereka sendiri: alih-alih merakit suku cadang mobil, mereka merakit kode dengan menggabungkan komponen sumber terbuka yang ada dengan kode unik mereka. Jika ini mengarah pada peningkatan produktivitas dan inovasi,” jelas Matt Jarvis, Direktur Hubungan Pengembang di Snyk. Bersama dengan Linux Foundation, kami berencana untuk membangun temuan ini untuk lebih mendidik dan melengkapi pengembang di seluruh dunia, memungkinkan mereka untuk terus membangun dengan cepat, sambil tetap aman."
Di antara hasil lainnya, hanya 49% organisasi yang memiliki kebijakan keamanan untuk pengembangan atau penggunaan perangkat lunak bebas (dan angka ini hanya 27% untuk perusahaan menengah dan besar). Sementara 30% organisasi tanpa kebijakan keamanan perangkat lunak gratis secara terbuka mengakui bahwa tidak ada seorang pun di tim mereka yang berhubungan langsung dengan keamanan perangkat lunak gratis.
Kompleksitas rantai pasokan juga menjadi masalah, dengan lebih dari seperempat responden menunjukkan bahwa mereka khawatir tentang dampak keamanan dari ketergantungan langsung mereka. Hanya 18% yang mengatakan bahwa mereka yakin dengan kontrol yang mereka tangani.
Sampai titik ini, Penting untuk menyoroti dua situasi, pertama dari mereka adalah pada saat pengembang menambahkan komponen open source di aplikasi Anda, Anda segera menjadi tergantung pada komponen itu dan berisiko jika komponen tersebut mengandung kerentanan.
Yang lain dan yang sering terlihat dalam beberapa tahun terakhir adalah bahwa risiko ini juga diperparah oleh dependensi tidak langsung atau transitif, yang merupakan dependensi dari "dependensi lain", di sini banyak pengembang bahkan tidak tahu tentang dependensi ini, yang membuatnya bahkan lebih sulit untuk melacak dan melindungi.
Dengan ini, kami dapat memahami sedikit bahwa laporan tersebut menunjukkan seberapa nyata risiko ini, dengan lusinan kerentanan ditemukan di banyak dependensi langsung di setiap aplikasi yang dievaluasi. Yang mengatakan, sampai batas tertentu, responden menyadari kompleksitas keamanan yang dibuat oleh open source dalam rantai pasokan perangkat lunak saat ini:
Lebih dari seperempat responden mengatakan mereka khawatir tentang dampak keamanan dari ketergantungan langsung mereka, hanya 18% responden mengatakan mereka mempercayai kontrol yang mereka miliki untuk ketergantungan transitif mereka; dan, Empat puluh persen dari semua kerentanan ditemukan dalam ketergantungan transitif.
Penting juga untuk disebutkan bahwa jika perusahaan atau pengembang ini tidak "aman" dengan perangkat lunak yang mereka gunakan, banyak dari kita akan memikirkan hal yang paling logis, sehingga mereka "membayar" atau "mendukung pengembangan, baik dengan mengalokasikan sumber daya atau pengembang", tetapi di sinilah salah satu perdebatan besar perangkat lunak sumber terbuka masuk, di mana jika sumber terbuka harus "berbayar".
Dengan demikian, ada banyak contoh perangkat lunak open source yang menangani dua versi, yang berbayar dan gratis, dan bahkan hanya berbayar, tetapi kode sumbernya tersedia.
Di sisi lain, juga terjadi pergerakan oleh pengembang dan perusahaan besar, di mana mereka memutuskan untuk mengubah model distribusi atau pindah ke model pembayaran, misalnya QT.
Tanpa lebih, bagi mereka yang tertarik untuk mengetahui lebih banyak tentang itu tentang catatan, Anda dapat berkonsultasi dengan detail di link berikut.