오픈 소스 소프트웨어의 보안 취약점이 발견되지 않는 경우가 있습니다. XNUMX 년 이상. 이것은 최신 State of the Octoverse 보고서의 주요 결과 중 하나입니다. GitHub 소프트웨어 개발 호스팅 및 관리 플랫폼입니다.
그러나 이 진술은 전적으로 사실이 아닙니다. 으로 기술 진보에 따라 그리고 최근 몇 년 동안 많은 대기업과 개발자가 오픈 소스 소프트웨어에 합류하여 개발, 테스트 도구 생성, 특히 취약성 탐지 측면에서 점점 더 빠른 발전을 이룰 수있었습니다.
아직 현실이지만 자금 부족은 (인력 감소로 이어짐) 대부분의 경우 검색에 장애가됩니다. 그리고 이러한 취약점의 발견.
예를 들어 Heartbleed는 취약점입니다. 암호화 라이브러리에있는 소프트웨어 수 2012 년 XNUMX 월부터 OpenSSL. 공격자가 TLS (Transport Layer Security Protocol)와 통신하는 동안 사용 된 복구를 위해 서버 또는 클라이언트의 메모리를 읽을 수 있습니다. 많은 인터넷 서비스에 영향을 미치는 결함은 2014 년 2014 월까지 발견되지 않았고 XNUMX 년 XNUMX 월에 공개되었습니다. 이로 인해 해커가 수천 대의 서버를 공격 할 수있는 기간은 XNUMX 년 남았습니다.
취약점이 실수로 OpenSSL 저장소에있는 것으로 추정 됨 자원 개발자의 제안에 따라 버그를 수정하고 기능을 개선합니다.
이 유형의 결함 (실수로 입력) 프로젝트에서 발견 된 항목의 83 %를 나타냅니다. GitHub에서 호스팅되는 오픈 소스. 그러나 최신 State of the Octoverse 보고서는 17 %는 악의적 인 제 XNUMX 자에 의해 의도적으로 도입 된 취약점이라고합니다..
이는 오픈 소스 소프트웨어의 결함이 지속적으로 증가하고 있음을 강조하는 최근 Risksense 보고서로 보완되어야하는 수치입니다. IT 프로젝트는 점점 더 오픈 소스를 기반으로하고 있으며, 이는 현장에서 해커의 관심이 증가하고 있음을 설명합니다.
취약점은 작업에 혼란을 일으키고 대규모 보안 문제를 일으킬 수 있습니다. 그러나 대부분의 취약점은 악의적 인 공격이 아닌 버그로 인한 것입니다.
가능한 경우 오픈 소스에 의존함으로써 팀은 커뮤니티에서 발견하고 수정 한 모든 수정 사항을 활용할 수 있습니다. 수정 시간은 모든 DevOps 팀의 중요한 구성 요소입니다.
금융 모델 오픈 소스 영역에서 소프트웨어 취약점을 설명 할 가능성이 가장 높은 요인 중 하나입니다. 그들은 그러한 중요한 순간에 눈에 띄지 않게됩니다. CII (Central Infrastructure Initiative)는 인터넷 및 기타 대규모 정보 시스템의 기능에 필수적인 무료 및 오픈 소스 소프트웨어 프로젝트에 자금을 지원하고 지원하는 몇 안되는 프로젝트 중 하나입니다.
GitHub의 대부분의 프로젝트는 오픈 소스 소프트웨어를 기반으로합니다. 이 분석에는 10.1.2019 년 30.09.2020 월 XNUMX 일부터 XNUMX 년 XNUMX 월 XNUMX 일 사이에 매달 최소 한 번의 기여가있는 오픈 소스 공용 저장소가 포함되었습니다.
후자는 수백만 웹 사이트에서 사용되는 OpenSSL의 중요한 Heartbleed 취약성에 따른 발표의 주제였습니다. 문제 : CII는 독점 소프트웨어 세계에서 잘 알려진 플레이어의 기여에 의존합니다. Facebook, VMWare, Microsoft, Comcast 및 Oracle (이 회사 이름 만 말함)은 Linux Foundation에 자금을 지원하므로 CII (Central Infrastructure Initiative)와 같은 프로젝트가 진행됩니다.
이를 통해 다양한 의사 결정위원회에 참여할 수 있으므로 오픈 소스 분야에서 발생하는 일을 어느 정도 제어 할 수 있습니다. 전 openSUSE 이사회 멤버 인 Bryan Lunduke가이 상황에 대해 자세히 설명합니다.
즉각적인 결과는 자금 지원으로 혜택을받는 오픈 소스 프로젝트 인프라가 주로 기반으로하는 것입니다.
마지막으로, 그것에 대해 더 많이 알고 싶다면, 수집 된 보고서를 찾을 수있는 다음 웹 사이트를 참조 할 수 있습니다.