Snyk lan Yayasan Linux mbukak manawa perusahaan ora duwe kapercayan babagan keamanan sumber terbuka 

Bubar, publikasi saka laporan anyar saka firma keamanan pangembang Snyk lan Linux Foundation, babagan riset gabungan babagan keamanan piranti lunak open source.

Ing kiriman sampeyan rinci manawa asil ora nyemangati kanggo perusahaan, mangkono ana macem-macem saka sudhut risiko keamanan wujud asil saka akeh nggunakake piranti lunak open source ing pangembangan aplikasi modern, uga carane akeh organisasi sing lagi lara-siap kanggo ngatur risiko iki èfèktif.

Secara khusus, laporan kasebut ditemokake:

Luwih saka papat saka sepuluh (41%) organisasi ora yakin banget babagan keamanan piranti lunak sumber terbuka;
Proyek pangembangan aplikasi rata-rata duwe 49 kerentanan lan 80 dependensi langsung (kode sumber terbuka sing diarani proyek); Y,
Wektu sing dibutuhake kanggo ndandani kerentanan ing proyek sumber terbuka saya tambah akeh, luwih saka tikel kaping pindho saka 49 dina ing 2018 dadi 110 dina ing 2021.

Disebutake manawa umume proyek pangembangan aplikasi nduweni rata-rata 49 kerentanan lan 80 katergantungan langsung. Kajaba iku, wektu sing dibutuhake kanggo ndandani kerentanan ing proyek sumber terbuka terus saya tambah, luwih saka tikel kaping pindho saka 49 dina ing 2018 dadi 110 dina ing 2021.

» Pangembang piranti lunak saiki duwe rantai pasokan dhewe: tinimbang ngrakit bagean mobil, dheweke ngrakit kode kanthi nggabungake komponen sumber terbuka sing ana karo kode unik. Yen iki ndadékaké kanggo nambah produktivitas lan inovasi, "jelas Matt Jarvis, Direktur Hubungan Pangembang ing Snyk. Bebarengan karo Yayasan Linux, kita rencana kanggo mbangun temuan kasebut kanggo luwih ngajari lan nglengkapi pangembang ing saindenging jagad, supaya bisa terus mbangun kanthi cepet, nalika tetep aman.

Antarane asil liyane, mung 49% organisasi duwe kabijakan keamanan kanggo pangembangan utawa nggunakake piranti lunak gratis (lan angka iki mung 27% kanggo perusahaan medium lan gedhe). Nalika 30% organisasi tanpa kabijakan keamanan piranti lunak gratis kanthi terang-terangan ngakoni manawa ora ana siji-sijine ing tim sing ngurusi keamanan piranti lunak gratis.

Kerumitan rantai pasokan uga dadi masalah, karo luwih saka seprapat saka responden nuduhake padha ngangap bab impact keamanan saka dependensi langsung sing. Mung 18% ujar manawa dheweke yakin karo kontrol sing digunakake.

Nganti saiki, Penting kanggo nyorot rong kahanan, sing pertama saka wong-wong mau yaiku ing wektu pangembang nambah komponen open source ing aplikasi sampeyan, sampeyan langsung dadi gumantung ing komponen kasebut lan ana risiko yen komponen kasebut ngemot kerentanan.

Liyane lan sing kerep katon ing taun-taun pungkasan yaiku risiko iki uga saya tambah amarga dependensi ora langsung utawa transitif, yaiku dependensi "dependensi liyane", ing kene akeh pangembang sing ora ngerti babagan dependensi kasebut, sing ndadekake malah harder kanggo trek lan nglindhungi.

Kanthi iki, kita bisa ngerti sethithik yen laporan kasebut nuduhake sejatine risiko iki, kanthi puluhan kerentanan sing ditemokake ing akeh dependensi langsung ing saben aplikasi sing dievaluasi. Sing jarene, nganti sawetara, responden ngerti babagan kerumitan keamanan sing digawe dening open source ing rantai pasokan piranti lunak saiki:

Luwih saka seprapat responden ujar manawa prihatin babagan pengaruh keamanan saka dependensi langsung, mung 18% responden ujar manawa dipercaya kontrol sing diduweni kanggo dependensi transitif; lan, Patang puluh persen kabeh vulnerabilities ditemokaké ing dependensi transitif.

Iku uga penting kanggo sebutno yen perusahaan utawa pangembang iki ora "aman" karo piranti lunak sing digunakake, akeh kita bakal mikir bab sing paling logis, supaya padha "mbayar" utawa "ndhukung pembangunan, salah siji saka alokasi sumber daya utawa. pangembang", nanging ing kene ana salah sawijining debat gedhe babagan piranti lunak sumber terbuka, yen sumber terbuka kudu "dibayar".

Dadi, ana akeh conto piranti lunak open source sing nangani rong versi, sing dibayar lan gratis, malah mung mbayar, nanging kode sumber kasedhiya.

Ing tangan liyane, ana uga obahe dening gawe lan perusahaan gedhe, kang mutusaké kanggo ngganti model distribusi utawa pindhah menyang model pembayaran, contone QT.

Tanpa luwih, kanggo sing kasengsem ing ngerti liyane babagan babagan cathetan, sampeyan bisa takon rincian ing link ing ngisor iki.


Dadi pisanan komentar

Ninggalake komentar sampeyan

Panjenengan alamat email ora bisa diterbitake. Perangkat kothak ditandhani karo *

*

*

  1. Tanggung jawab data: Miguel Ángel Gatón
  2. Tujuan data: Kontrol SPAM, manajemen komentar.
  3. Legitimasi: idin sampeyan
  4. Komunikasi data: Data kasebut ora bakal dikomunikasikake karo pihak katelu kajaba kanthi kewajiban ukum.
  5. Panyimpenan data: Database sing dianakake dening Occentus Networks (EU)
  6. Hak: Kapan wae sampeyan bisa matesi, mulihake lan mbusak informasi sampeyan.