לאחרונה, פרסום של דוח חדש מחברת האבטחה המפתחת Snyk וקרן לינוקס, על המחקר המשותף שלהם על מצב אבטחת תוכנות קוד פתוח.
בפוסט שלך לפרט שהתוצאות אינן מעודדות עבור חברות, עבור יש מגוון רחב של סיכוני אבטחה משמעותיים כתוצאה מהשימוש הנרחב בתוכנת קוד פתוח בפיתוח יישומים מודרני, כמו גם מכמה ארגונים לא מוכנים כיום לנהל את הסיכונים הללו ביעילות.
באופן ספציפי, הדוח מצא:
יותר מארבעה מכל עשרה (41%) ארגונים אינם בטוחים מאוד באבטחת תוכנת הקוד הפתוח שלהם;
לפרויקט פיתוח אפליקציות ממוצע יש 49 פגיעויות ו-80 תלות ישירות (קוד מקור פתוח שנקרא על ידי פרויקט); י,
הזמן שלוקח לתקן נקודות תורפה בפרויקטים של קוד פתוח גדל בהתמדה, יותר מהכפלה מ-49 ימים ב-2018 ל-110 ימים ב-2021.
מוזכר ש בדרך כלל פרויקט פיתוח אפליקציות יש בממוצע 49 פגיעויות ו-80 תלות ישירות. בנוסף, הזמן הנדרש לתיקון פגיעויות בפרויקטים של קוד פתוח גדל בהתמדה, יותר מהכפלה מ-49 ימים ב-2018 ל-110 ימים ב-2021.
» למפתחי התוכנה של היום יש שרשרת אספקה משלהם: במקום להרכיב חלקי רכב, הם מרכיבים קוד על ידי צירוף רכיבי קוד פתוח קיימים עם הקוד הייחודי שלהם. אם זה יוביל להגברת הפרודוקטיביות והחדשנות", מסביר מאט ג'רוויס, מנהל קשרי מפתחים ב-Snyk. יחד עם קרן לינוקס, אנו מתכננים להתבסס על הממצאים הללו כדי לחנך ולצייד מפתחים ברחבי העולם, ולאפשר להם להמשיך לבנות במהירות, תוך שמירה על בטיחות."
בין יתר התוצאות, רק ל-49% מהארגונים יש מדיניות אבטחה לפיתוח או שימוש בתוכנה חופשית (ונתון זה הוא רק 27% עבור חברות בינוניות וגדולות). בעוד 30% מהארגונים ללא מדיניות אבטחת תוכנה חופשית מכירים בגלוי בכך שאף אחד בצוות שלהם לא עוסק ישירות באבטחת תוכנה חופשית.
מורכבות שרשרת האספקה היא גם בעיה, כאשר יותר מרבע מהמשיבים ציינו שהם מודאגים מההשפעה האבטחה של התלות הישירה שלהם. רק 18% אומרים שהם בטוחים בבקרות שבהן הם משתמשים.
עד כה, חשוב להדגיש שני מצבים, הראשון מהם הוא בזמן שמפתחים מוסיפים רכיב קוד פתוח ביישומים שלך, אתה מיד להיות תלוי ברכיב זה והם בסיכון אם רכיב זה מכיל נקודות תורפה.
השני והדבר שנראה תדיר בשנים האחרונות הוא שהסיכון הזה מחמיר גם בתלות עקיפה או טרנזיטיבית, שהן התלות של "התלות האחרות", כאן מפתחים רבים אפילו לא יודעים על התלות הללו, מה שהופך אותו אפילו קשה יותר לעקוב ולהגן.
עם זה, אנו יכולים להבין מעט שהדוח מראה עד כמה הסיכון הזה אמיתי, עם עשרות נקודות תורפה שהתגלו בתלות ישירה רבות בכל אפליקציה שהוערכה. עם זאת, במידה מסוימת, המשיבים מודעים למורכבות האבטחה שנוצרה על ידי קוד פתוח בשרשרת אספקת התוכנה של ימינו:
יותר מרבע מהמשיבים אמרו שהם מודאגים מההשפעה האבטחה של התלות הישירה שלהם; רק 18% מהנשאלים אמרו שהם סומכים על הבקרות שיש להם על התלות הטרנזיטיבית שלהם; וכן,ארבעים אחוז מכל הפגיעות נמצאו בתלות מעברית.
חשוב גם להזכיר שאם החברות או המפתחים הללו לא "בטוחים" בתוכנה שהם משתמשים בהם, רבים מאיתנו יחשבו על הדבר ההגיוני ביותר, כך שהם "משלמים" או "תומכים בפיתוח, בין אם באמצעות הקצאת משאבים או מפתחים", אבל כאן בנקודה זו נכנס אחד הוויכוחים הגדולים של תוכנת קוד פתוח, היכן אם קוד פתוח צריך להיות "בתשלום".
ככזה, ישנן דוגמאות רבות לתוכנות קוד פתוח המטפלות בשתי גרסאות, בתשלום וחינמי, ואפילו רק בתשלום, אך קוד המקור זמין.
מצד שני, היו גם תנועות של מפתחים וחברות גדולות, שבהן הם מחליטים לשנות את מודל ההפצה או לעבור למודל תשלום, למשל QT.
בלי יותר, למי שמעוניין לדעת יותר על זה לגבי ההערה, תוכל לעיין בפרטים ב הקישור הבא.