オープンソースソフトウェアのセキュリティの脆弱性が検出されない場合があります XNUMX年以上。 これは、最新のState of theOctoverseレポートの重要な調査結果のXNUMXつです。 GitHubソフトウェア開発ホスティングおよび管理プラットフォームの
しかしながら この声明は完全に真実ではありません、 として 技術の進歩に基づく また、近年、多くの大企業や開発者がオープンソースソフトウェアに参加しているという事実により、開発、テスト用ツールの作成、特に脆弱性の検出に関して、ますます加速する進歩が可能になっています。
それはまだ現実ですが、不十分な資金調達です (人的資源の削減につながる) ほとんどの場合、検索の障害になります そしてこれらの脆弱性の発見。
たとえば、ハートブリードは脆弱性です 暗号化ライブラリ内に存在するソフトウェアの 2012年XNUMX月以降のOpenSSL。 これにより、攻撃者はサーバーまたはクライアントのメモリを読み取って、トランスポートレイヤーセキュリティ(TLS)プロトコルとの通信中に使用されたものを回復できます。 多くのインターネットサービスに影響を与える欠陥は2014年2014月まで発見されず、XNUMX年XNUMX月に公開されました。これにより、ハッカーが数千のサーバーを攻撃するためのXNUMX年間のウィンドウが残されました。
伝えられるところによると、この脆弱性は誤ってOpenSSLリポジトリに保存されました。 バグを修正し、機能を改善するためのボランティア開発者からの提案に従います。
このタイプの欠陥 (誤って入力) プロジェクトで発見されたものの83%を占める GitHubでホストされているオープンソース。 ただし、最新のOctoverseレポートの状態 17%は、悪意のある第三者によって意図的に導入された脆弱性であると述べています.
これらは、オープンソースソフトウェアの欠陥が絶えず増大していることを強調する最近のRisksenseレポートによって補足されるべき数字です。 ITプロジェクトはますますオープンソースに基づいており、この分野でのハッカーの関心の高まりを説明しています。
脆弱性はあなたの仕事に大混乱をもたらし、大規模なセキュリティ問題を引き起こす可能性があります。 ただし、ほとんどの脆弱性は、悪意のある攻撃ではなく、バグが原因です。
可能な場合はオープンソースに依存することで、チームはコミュニティによって発見および修正されたすべての修正から利益を得ることができます。 修復する時間は、すべてのDevOpsチームにとって重要な要素です
資金調達モデル オープンソースの領域から ソフトウェアの脆弱性を説明する可能性が最も高い要因のXNUMXつです 彼らはそのような重要な瞬間に気づかれません。 中央インフラストラクチャイニシアチブ(CII)は、インターネットやその他の大規模な情報システムの機能に不可欠な無料のオープンソースソフトウェアプロジェクトに資金を提供し、サポートする数少ないプロジェクトのXNUMXつです。
GitHubのプロジェクトのほとんどは、オープンソースソフトウェアに基づいています。 この分析には、10.1.2019年30.09.2020月XNUMX日からXNUMX年XNUMX月XNUMX日までの各月に少なくともXNUMXつの貢献があるオープンソースの公開リポジトリが含まれていました。
後者は、何百万ものWebサイトで使用されているOpenSSLの重大なHeartbleed脆弱性に続く発表の対象となっています。 問題:CIIは、独自のソフトウェアの世界で定評のあるプレーヤーからの貢献に依存しています。 Facebook、VMWare、Microsoft、Comcast、およびOracle(これらの企業だけを挙げれば)はLinux Foundationに資金を提供しているため、Central Infrastructure Initiative(CII)のようなプロジェクトに資金を提供しています。
これにより、さまざまな意思決定委員会の議席が与えられ、オープンソースの分野で何が起こるかをある程度制御できるようになります。 元openSUSE理事会メンバーのBryanLundukeが、この状況についてさらに詳しく説明します。
直接の結果は 資金提供の恩恵を受けるオープンソースプロジェクト それらのインフラストラクチャが主に基づいているものです。
最後に、 あなたがそれについてもっと知りたいのなら、収集されたレポートを見つけることができる次のWebサイトを参照できます。