최근 발간된 개발자 보안 회사 Snyk와 Linux Foundation의 새로운 보고서, 오픈 소스 소프트웨어 보안 상태에 대한 공동 연구에 대해.
게시물에서 결과가 회사에 고무적이지 않다는 세부 사항, 에 다양하고 중대한 보안 위험이 있습니다. 이는 현대 애플리케이션 개발 내에서 오픈 소스 소프트웨어의 광범위한 사용과 현재 얼마나 많은 조직이 이러한 위험을 효과적으로 관리할 준비가 되어 있지 않은 결과입니다.
특히 보고서는 다음을 발견했습니다.
41개 중 XNUMX개 이상의 조직(XNUMX%)이 오픈 소스 소프트웨어의 보안에 대해 그다지 자신이 없습니다.
평균적인 애플리케이션 개발 프로젝트에는 49개의 취약점과 80개의 직접적인 종속성이 있습니다(프로젝트에서 호출하는 오픈 소스 코드). 와이,
오픈 소스 프로젝트의 취약점을 수정하는 데 걸리는 시간은 49년 2018일에서 110년 2021일로 XNUMX배 이상 꾸준히 증가하고 있습니다.
언급된다 일반적으로 프로젝트 응용 프로그램 개발 평균 49개의 취약점과 80개의 직접적인 종속성이 있습니다.. 또한 오픈 소스 프로젝트의 취약점을 수정하는 데 필요한 시간이 49년 2018일에서 110년 2021일로 두 배 이상 꾸준히 증가했습니다.
» 오늘날의 소프트웨어 개발자에게는 자체 공급망이 있습니다. 자동차 부품을 조립하는 대신 기존 오픈 소스 구성 요소를 고유한 코드와 결합하여 코드를 조립합니다. 이것이 생산성과 혁신의 증가로 이어진다면”이라고 Snyk의 개발자 관계 이사인 Matt Jarvis가 설명합니다. Linux Foundation과 함께 우리는 이러한 발견을 바탕으로 전 세계의 개발자를 더 교육하고 장비를 갖추고 안전하게 유지하면서 빠르게 빌드할 수 있도록 할 계획입니다."
다른 결과 중에서, 조직의 49%만이 보안 정책을 가지고 있습니다. 무료 소프트웨어의 개발 또는 사용을 위한 것입니다(이 수치는 중견기업 및 대기업의 경우 27%에 불과함). 자유 소프트웨어 보안 정책이 없는 조직의 30%는 팀원 중 누구도 자유 소프트웨어 보안을 직접 다루지 않는다는 사실을 공개적으로 인정합니다.
공급망 복잡성도 문제, 응답자의 18분의 XNUMX 이상이 직접적인 종속성이 보안에 미치는 영향에 대해 우려하고 있다고 답했습니다. XNUMX%만이 자신이 처리하는 컨트롤에 자신이 있다고 말합니다.
여기까지, 두 가지 상황을 강조하는 것이 중요합니다, 첫번째 그들 중 개발자가 구성 요소를 추가할 때 애플리케이션에서 오픈 소스를 사용하면 즉시 그 구성요소에 의존하게 된다 해당 구성 요소에 취약점이 포함되어 있으면 위험합니다.
최근 몇 년 동안 자주 목격된 다른 하나는 이 위험이 "기타 종속성"의 종속성인 간접 또는 전이 종속성으로 인해 악화된다는 것입니다. 여기서 많은 개발자는 이러한 종속성에 대해 알지도 못하므로 추적하고 보호하기가 더 어렵습니다.
이를 통해 보고서가 평가된 각 애플리케이션의 많은 직접적인 종속성에서 발견된 수십 개의 취약점과 함께 이 위험이 얼마나 실제적인지를 보여주고 있다는 것을 조금 이해할 수 있습니다. 하지만 응답자들은 오늘날의 소프트웨어 공급망에서 오픈 소스로 인해 발생하는 보안 복잡성을 어느 정도 알고 있습니다.
응답자의 18분의 XNUMX 이상이 직접 종속성이 보안에 미치는 영향에 대해 우려하고 있다고 답했으며, 응답자의 XNUMX%만이 전이 종속성에 대한 제어 기능을 신뢰한다고 말했습니다. 그리고, 모든 취약점의 XNUMX%가 전이적 종속성에서 발견되었습니다.
또한 이러한 회사 또는 개발자가 사용하는 소프트웨어에 "안전"하지 않은 경우 우리 중 많은 사람들이 가장 논리적인 것을 생각할 것이며 리소스를 할당하거나 개발자"라고 말했지만 이 시점에서 오픈 소스 소프트웨어에 대한 큰 논쟁 중 하나가 발생합니다.
이처럼 유료와 무료, 심지어 유료까지 XNUMX가지 버전을 취급하는 오픈소스 소프트웨어의 예는 많지만 소스코드는 공개돼 있다.
한편, QT와 같은 유통 모델을 바꾸거나 결제 모델로 옮기는 개발자나 대기업의 움직임도 있다.
더없이 그것에 대해 더 알고 싶은 사람들을 위해 메모에 대한 자세한 내용은 다음 링크.