अलीकडे, चे प्रकाशन डेव्हलपर सिक्युरिटी फर्म Snyk आणि Linux फाउंडेशनचा एक नवीन अहवाल, ओपन सोर्स सॉफ्टवेअर सुरक्षेच्या स्थितीत त्यांच्या संयुक्त संशोधनाबद्दल.
आपल्या पोस्टमध्ये कंपन्यांसाठी निकाल उत्साहवर्धक नसल्याचा तपशील, म्हणून विविध प्रकारचे महत्त्वपूर्ण सुरक्षा धोके आहेत आधुनिक ऍप्लिकेशन डेव्हलपमेंटमध्ये ओपन सोर्स सॉफ्टवेअरच्या व्यापक वापरामुळे, तसेच या जोखमींचे प्रभावीपणे व्यवस्थापन करण्यासाठी किती संस्था सध्या तयार नाहीत.
विशेषतः, अहवालात आढळले:
दहापैकी चार (41%) संस्थांना त्यांच्या ओपन सोर्स सॉफ्टवेअरच्या सुरक्षिततेबद्दल फारसा विश्वास नाही;
सरासरी ऍप्लिकेशन डेव्हलपमेंट प्रोजेक्टमध्ये 49 भेद्यता आणि 80 डायरेक्ट डिपेंडेंसी असतात (प्रोजेक्टद्वारे कॉल केलेला ओपन सोर्स कोड); य,
ओपन सोर्स प्रकल्पांमधील भेद्यता दूर करण्यासाठी लागणारा वेळ सातत्याने वाढत आहे, 49 मधील 2018 दिवसांपासून ते 110 मध्ये 2021 दिवसांपर्यंत दुप्पट होत आहे.
असे नमूद केले आहे साधारणपणे एक प्रकल्प अनुप्रयोग विकास सरासरी 49 भेद्यता आणि 80 थेट अवलंबित्व आहेत. याव्यतिरिक्त, ओपन सोर्स प्रकल्पांमधील भेद्यता दूर करण्यासाठी लागणारा कालावधी 49 मधील 2018 दिवसांवरून 110 मध्ये 2021 दिवसांपर्यंत दुप्पट वाढून वाढला आहे.
» आजच्या सॉफ्टवेअर डेव्हलपरची स्वतःची पुरवठा साखळी आहे: कारचे पार्ट असेंबल करण्याऐवजी, ते विद्यमान ओपन सोर्स घटकांना त्यांच्या युनिक कोडसह जोडून कोड असेंबल करतात. जर यामुळे उत्पादकता आणि नावीन्यता वाढते,” मॅट जार्विस, Snyk येथील विकासक संबंध संचालक स्पष्ट करतात. Linux फाउंडेशनसह, आम्ही जगभरातील विकासकांना अधिक शिक्षित आणि सुसज्ज करण्यासाठी या निष्कर्षांवर आधारित तयार करण्याची योजना आखत आहोत, ज्यामुळे त्यांना सुरक्षित राहून जलद बांधकाम सुरू ठेवता येईल."
इतर निकालांमध्ये, केवळ 49% संस्थांकडे सुरक्षा धोरण आहे विनामूल्य सॉफ्टवेअरच्या विकासासाठी किंवा वापरासाठी (आणि ही संख्या मध्यम आणि मोठ्या कंपन्यांसाठी केवळ 27% आहे). विनामूल्य सॉफ्टवेअर सुरक्षा धोरण नसलेल्या 30% संस्था उघडपणे कबूल करतात की त्यांच्या कार्यसंघातील कोणीही विनामूल्य सॉफ्टवेअर सुरक्षिततेशी थेट व्यवहार करत नाही.
पुरवठा साखळीतील गुंतागुंत ही देखील एक समस्या आहे, एक चतुर्थांश पेक्षा जास्त उत्तरदाते सूचित करतात की ते त्यांच्या थेट अवलंबनाच्या सुरक्षिततेच्या प्रभावाबद्दल चिंतित आहेत. केवळ 18% लोक म्हणतात की ते वापरत असलेल्या नियंत्रणांवर विश्वास ठेवतात.
आतापर्यंत, दोन परिस्थिती हायलाइट करणे महत्वाचे आहे, पहिला त्यापैकी आहे त्या वेळी विकासक एक घटक जोडतात तुमच्या ऍप्लिकेशन्समध्ये ओपन सोर्स, तुम्ही लगेच आहात त्या घटकावर अवलंबून रहा आणि त्या घटकामध्ये भेद्यता असल्यास धोका असतो.
दुसरे आणि ते अलिकडच्या वर्षांत वारंवार दिसून आले आहे की हा धोका अप्रत्यक्ष किंवा संक्रमणात्मक अवलंबनांमुळे देखील वाढला आहे, जे "इतर अवलंबित्वांचे" अवलंबित्व आहेत, येथे अनेक विकासकांना या अवलंबनांबद्दल माहिती देखील नसते, ज्यामुळे ते अगदी कमी होते. ट्रॅक आणि संरक्षण करणे कठीण.
यासह, आम्ही हे थोडेसे समजू शकतो की अहवालात हा धोका किती वास्तविक आहे हे दर्शविते, प्रत्येक अनुप्रयोगामध्ये अनेक थेट अवलंबनांमध्ये डझनभर असुरक्षा आढळून आल्या आहेत. असे म्हटले आहे की, काही प्रमाणात, प्रतिसादकर्त्यांना आजच्या सॉफ्टवेअर पुरवठा शृंखलामध्ये ओपन सोर्सद्वारे तयार केलेल्या सुरक्षिततेच्या गुंतागुंतीची जाणीव आहे:
उत्तरदात्यांपैकी एक चतुर्थांश पेक्षा जास्त लोक म्हणाले की ते त्यांच्या थेट अवलंबित्वाच्या सुरक्षिततेच्या प्रभावाबद्दल चिंतित आहेत; केवळ 18% उत्तरदाते म्हणाले की त्यांना त्यांच्या संक्रमणात्मक अवलंबनांसाठी असलेल्या नियंत्रणांवर विश्वास आहे; आणि,सर्व असुरक्षांपैकी चाळीस टक्के संक्रमणात्मक अवलंबनांमध्ये आढळून आले.
हे नमूद करणे देखील महत्त्वाचे आहे की जर या कंपन्या किंवा विकासक ते वापरत असलेल्या सॉफ्टवेअरसह "सुरक्षित" नसतील, तर आपल्यापैकी बरेच लोक सर्वात तार्किक गोष्टीचा विचार करतील, जेणेकरून ते "पैसे देतात" किंवा "विकासाचे समर्थन करतात, एकतर संसाधनांचे वाटप करून किंवा डेव्हलपर", परंतु या बिंदूमध्ये ओपन सोर्स सॉफ्टवेअरचा एक मोठा वादविवाद येतो, जेथे ओपन सोर्स "पेड" असले पाहिजे.
अशा प्रकारे, मुक्त स्त्रोत सॉफ्टवेअरची अनेक उदाहरणे आहेत जी दोन आवृत्त्या हाताळतात, ज्या सशुल्क आणि विनामूल्य आहेत आणि अगदी सशुल्क आहेत, परंतु स्त्रोत कोड उपलब्ध आहे.
दुसरीकडे, विकासक आणि मोठ्या कंपन्यांच्या हालचाली देखील झाल्या आहेत, ज्यामध्ये ते वितरण मॉडेल बदलण्याचा किंवा पेमेंट मॉडेलवर जाण्याचा निर्णय घेतात, उदाहरणार्थ QT.
याशिवाय, त्याबद्दल अधिक जाणून घेण्यास इच्छुक असलेल्यांसाठी नोटबद्दल, आपण तपशीलांचा सल्ला घेऊ शकता खालील दुवा.