פרצות אבטחה בתוכנת קוד פתוח לעיתים אינן מזוהות במשך יותר מארבע שנים. זהו אחד הממצאים המרכזיים של הדו"ח האחרון של מצב הדו"ח של פלטפורמת האירוח והניהול של פיתוח תוכנה GitHub.
עם זאת הצהרה זו אינה נכונה לחלוטין, מאז מבוסס על התקדמות טכנולוגית והעובדה שבשנים האחרונות חברות ומפתחים גדולים רבים הצטרפו לתוכנת קוד פתוח, הדבר אפשר התקדמות מואצת יותר ויותר מבחינת פיתוח, יצירת כלים לבדיקה ובמיוחד גילוי פגיעות.
למרות שזה עדיין מציאות היא כי מימון לא מספיק (מה שמוביל לצמצום משאבי אנוש) הוא לרוב מכשול לחיפוש וגילוי הפגיעות הללו.
Heartbeded, למשל, היא פגיעות של תוכנות הקיימות בספריית ההצפנה OpenSSL מאז מרץ 2012. מאפשר לתוקף לקרוא את הזיכרון של שרת או לקוח להתאושש המשמש במהלך תקשורת עם פרוטוקול האבטחה של Transport Layer (TLS). הפגם שמשפיע על שירותי אינטרנט רבים לא התגלה עד למארס 2014 ופורסם בציבור באפריל 2014. זה הותיר חלון של שנתיים להאקרים לתקוף אלפי שרתים.
על פי החשד, הפגיעות הסתיימה במאגר OpenSSL בטעות בעקבות הצעה של מפתח מתנדב לתקן באגים ולשפר את התכונות.
הליקויים מסוג זה (נכנס בטעות) מייצגים 83% מאלה שהתגלו בפרויקטים קוד פתוח המתארח ב- GitHub. עם זאת, הדו"ח האחרון של מדינת אוקטובר קובע כי 17% הם נקודות תורפה המופעלות בכוונה על ידי צדדים שלישיים זדוניים.
אלה נתונים שיש להוסיף לדו"ח ריסקסנס שנערך לאחרונה המדגיש כי הפגמים בתוכנת קוד פתוח הולכים וגדלים כל העת. פרויקטים בתחום ה- IT מתבססים יותר ויותר על קוד פתוח, מה שמסביר את העניין הגובר של האקרים בתחום.
פגיעות עלולה לגרום להרס בעבודתך ולגרום לבעיות אבטחה רחבות היקף. עם זאת, מרבית הפגיעות נובעות מבאגים, ולא מהתקפות זדוניות.
על ידי הסתמכות על קוד פתוח כשתוכל, הצוות שלך מרוויח מכל התיקונים שנמצאו ותוקנו על ידי הקהילה. הזמן לתיקון הוא מרכיב חשוב לכל צוותי DevOps
מודל המימון מתחום הקוד הפתוח הוא בין הגורמים הסבירים ביותר למה פגיעות תוכנה הם נעלמים מעיניהם ברגעים כה חשובים. יוזמת התשתיות המרכזית (CII) היא אחד הפרויקטים הבודדים למימון ותמיכה בפרויקטים חופשיים של קוד פתוח וחיוניים לתפקוד האינטרנט ומערכות מידע גדולות אחרות.
רוב הפרויקטים ב- GitHub מבוססים על תוכנת קוד פתוח. ניתוח זה כלל מאגרי קוד פתוח ציבורי עם תרומה אחת לפחות בכל חודש בין התאריכים 10.1.2019 ו- 30.09.2020.
זו האחרונה הוכרזה בעקבות הפגיעות הקריטית של Heartbleed ב- OpenSSL המשמשת מיליוני אתרים. הבעיה: CII נשען על תרומות של שחקנים מבוססים בעולם התוכנה הקניינית. פייסבוק, VMWare, מיקרוסופט, קומקאסט ואורקל (אם למנות רק חברות אלה) מממנות את קרן לינוקס, וכך פרויקטים כמו יוזמת התשתיות המרכזיות (CII).
זה נותן להם מושבים בוועדות קבלת ההחלטות השונות ולכן שליטה מסוימת במתרחש בזירת הקוד הפתוח. בריאן לונדוקה, לשעבר חבר דירקטוריון openSUSE, דן ביתר פירוט במצב דברים זה.
התוצאה המיידית היא ש פרויקטים של קוד פתוח הנהנים ממימון הם אלה שעיקרם מבוססת התשתית שלהם.
לבסוף, אם אתה מעוניין לדעת יותר על כך, תוכלו להתייעץ באתר הבא בו תוכלו למצוא את הדוחות שנאספו.