Neseniai pasirodė leidinys nauja kūrėjų saugos įmonės „Snyk“ ir „Linux Foundation“ ataskaita, apie jų bendrus atvirojo kodo programinės įrangos saugumo būklės tyrimus.
Jūsų įraše išsamiai paaiškinti, kad rezultatai nėra džiuginantys įmonėms, taip yra daug įvairių reikšmingų saugumo pavojų dėl plačiai paplitusio atvirojo kodo programinės įrangos naudojimo kuriant šiuolaikines taikomąsias programas, taip pat kiek organizacijų šiuo metu nėra pasirengusios efektyviai valdyti šią riziką.
Konkrečiai, ataskaitoje nustatyta:
Daugiau nei keturios iš dešimties (41 proc.) organizacijų nėra labai įsitikinusios savo atvirojo kodo programinės įrangos saugumu;
Vidutinis programų kūrimo projektas turi 49 pažeidžiamumus ir 80 tiesioginių priklausomybių (atvirojo kodo, kurį iškviečia projektas); Y,
Laikas, kurio reikia atvirojo kodo projektų pažeidžiamoms vietoms pašalinti, nuolat ilgėjo – daugiau nei dvigubai nuo 49 dienų 2018 m. iki 110 dienų 2021 m.
Minima, kad apskritai projektas taikomųjų programų kūrimas turi vidutiniškai 49 pažeidžiamumus ir 80 tiesioginių priklausomybių. Be to, laikas, reikalingas atvirojo kodo projektų pažeidžiamumui pašalinti, nuolat ilgėjo – daugiau nei dvigubai nuo 49 dienų 2018 m. iki 110 dienų 2021 m.
» Šiandieniniai programinės įrangos kūrėjai turi savo tiekimo grandines: užuot surinkę automobilių dalis, jie surenka kodą sujungdami esamus atvirojo kodo komponentus su savo unikaliu kodu. Jei tai padidins produktyvumą ir naujoves“, – aiškina Mattas Jarvisas, „Snyk“ kūrėjų ryšių direktorius. Kartu su „Linux Foundation“ planuojame remtis šiomis išvadomis, kad toliau mokytume ir aprūpintume kūrėjus visame pasaulyje, kad jie galėtų greitai kurtis ir išlikti saugūs.
Be kitų rezultatų, tik 49% organizacijų turi saugumo politiką nemokamos programinės įrangos kūrimui ar naudojimui (o vidutinėms ir didelėms įmonėms šis skaičius siekia tik 27 proc.). Nors 30% organizacijų, neturinčių nemokamos programinės įrangos saugumo politikos, atvirai pripažįsta, kad niekas iš jų komandos tiesiogiai nesusiję su nemokamos programinės įrangos sauga.
Tiekimo grandinės sudėtingumas taip pat yra problema, daugiau nei ketvirtadalis respondentų nurodė, kad yra susirūpinę dėl jų tiesioginės priklausomybės poveikio saugumui. Tik 18 % teigia, kad yra įsitikinę savo valdomu valdymu.
Iki šiol, Svarbu pabrėžti dvi situacijas, Pirmas iš jų yra tuo metu kūrėjai prideda komponentą atvirojo kodo savo programose, jūs iš karto tampa priklausomas nuo to komponento ir kyla pavojus, jei tame komponente yra pažeidžiamumų.
Kitas dalykas, kuris pastaraisiais metais dažnai pastebimas, yra tai, kad šią riziką didina ir netiesioginės arba tranzityvinės priklausomybės, kurios yra „kitų priklausomybių“ priklausomybės, čia daugelis kūrėjų apie šias priklausomybes net nežino, todėl ji yra tolygi. sunkiau sekti ir apsaugoti.
Turėdami tai, galime šiek tiek suprasti, kad ataskaita parodo, kokia reali ši rizika, nes kiekvienoje įvertintoje programoje aptikta daugybė pažeidžiamumų, susijusių su daugybe tiesioginių priklausomybių. Tačiau respondentai tam tikru mastu žino apie atvirojo kodo sukurtus saugumo sudėtingumus šiandieninėje programinės įrangos tiekimo grandinėje:
Daugiau nei ketvirtadalis respondentų teigė, kad yra susirūpinę dėl savo tiesioginės priklausomybės poveikio saugumui; tik 18 % respondentų teigė, kad pasitiki turimomis pereinamojo laikotarpio priklausomybių kontrolės priemonėmis; ir keturiasdešimt procentų visų pažeidžiamumų buvo rasta pereinamosiose priklausomybėse.
Taip pat svarbu paminėti, kad jei šios įmonės ar kūrėjai nėra „saugūs“ su savo naudojama programine įranga, daugelis iš mūsų sugalvos logiškiausią dalyką, kad „mokėtų“ arba „remtų plėtrą, skirdami išteklius arba kūrėjai“, tačiau čia kyla vienas iš didžiausių atvirojo kodo programinės įrangos diskusijų, kur atvirasis šaltinis turėtų būti „mokamas“.
Taigi, yra daug atvirojo kodo programinės įrangos pavyzdžių, kurie tvarko dvi versijas, kurios yra mokamos ir nemokamos, ir netgi tik mokamos, tačiau šaltinio kodas yra prieinamas.
Kita vertus, buvo ir kūrėjų bei didelių kompanijų judėjimų, kai jie nusprendžia pakeisti platinimo modelį arba pereiti prie mokėjimo modelio, pavyzdžiui, QT.
Be daugiau, tiems, kurie nori sužinoti daugiau apie tai apie pastabą galite sužinoti daugiau šią nuorodą.