Baru-baru ini, penerbitan laporan baharu daripada firma keselamatan pembangun Snyk dan Yayasan Linux, tentang penyelidikan bersama mereka tentang keadaan keselamatan perisian sumber terbuka.
Dalam catatan anda terperinci bahawa hasilnya tidak memberangsangkan bagi syarikat, pues terdapat pelbagai jenis risiko keselamatan yang ketara hasil daripada penggunaan meluas perisian sumber terbuka dalam pembangunan aplikasi moden, serta berapa banyak organisasi pada masa ini tidak bersedia untuk menguruskan risiko ini dengan berkesan.
Secara khusus, laporan itu mendapati:
Lebih daripada empat daripada sepuluh (41%) organisasi tidak begitu yakin dengan keselamatan perisian sumber terbuka mereka;
Projek pembangunan aplikasi purata mempunyai 49 kelemahan dan 80 kebergantungan langsung (kod sumber terbuka dipanggil oleh projek); Y,
Masa yang diperlukan untuk membetulkan kelemahan dalam projek sumber terbuka semakin meningkat, lebih daripada dua kali ganda daripada 49 hari pada 2018 kepada 110 hari pada 2021.
Disebutkan bahawa umumnya projek pembangunan aplikasi mempunyai purata 49 kelemahan dan 80 kebergantungan langsung. Selain itu, masa yang diperlukan untuk membetulkan kelemahan dalam projek sumber terbuka telah meningkat secara berterusan, lebih dua kali ganda daripada 49 hari pada 2018 kepada 110 hari pada 2021.
» Pembangun perisian hari ini mempunyai rantaian bekalan mereka sendiri: bukannya memasang bahagian kereta, mereka memasang kod dengan menyertai komponen sumber terbuka sedia ada dengan kod unik mereka. Jika ini membawa kepada peningkatan produktiviti dan inovasi,” jelas Matt Jarvis, Pengarah Perhubungan Pembangun di Snyk. Bersama-sama dengan Yayasan Linux, kami merancang untuk membina penemuan ini untuk terus mendidik dan melengkapkan pembangun di seluruh dunia, membolehkan mereka terus membina pantas, sambil kekal selamat."
Antara hasil lain, hanya 49% organisasi mempunyai dasar keselamatan untuk pembangunan atau penggunaan perisian percuma (dan angka ini hanya 27% untuk syarikat sederhana dan besar). Walaupun 30% organisasi tanpa dasar keselamatan perisian percuma secara terbuka mengakui bahawa tiada sesiapa dalam pasukan mereka berurusan secara langsung dengan keselamatan perisian percuma.
Kerumitan rantaian bekalan juga menjadi isu, dengan lebih daripada satu perempat daripada responden menunjukkan mereka bimbang tentang kesan keselamatan kebergantungan langsung mereka. Hanya 18% mengatakan mereka yakin dengan kawalan yang mereka gunakan.
Sehingga ke tahap ini, Adalah penting untuk menyerlahkan dua situasi, yang pertama daripada mereka ialah pada masa pembangun menambah komponen sumber terbuka dalam aplikasi anda, anda serta-merta menjadi bergantung kepada komponen itu dan berisiko jika komponen itu mengandungi kelemahan.
Satu lagi dan yang sering dilihat dalam beberapa tahun kebelakangan ini ialah risiko ini juga diburukkan oleh kebergantungan tidak langsung atau transitif, yang merupakan kebergantungan "bergantungan lain", di sini ramai pembangun tidak mengetahui tentang kebergantungan ini, yang menjadikannya lebih sama. lebih sukar untuk dikesan dan dilindungi.
Dengan ini, kita dapat memahami sedikit bahawa laporan itu menunjukkan betapa sebenar risiko ini, dengan berpuluh-puluh kelemahan ditemui dalam banyak kebergantungan langsung dalam setiap aplikasi dinilai. Walau bagaimanapun, pada tahap tertentu, responden menyedari kerumitan keselamatan yang dicipta oleh sumber terbuka dalam rantaian bekalan perisian hari ini:
Lebih daripada satu perempat daripada responden berkata mereka bimbang tentang kesan keselamatan tanggungan langsung mereka, hanya 18% daripada responden berkata mereka mempercayai kawalan yang mereka ada untuk tanggungan transitif mereka; dan, Empat puluh peratus daripada semua kelemahan ditemui dalam kebergantungan transitif.
Ia juga penting untuk menyebut bahawa jika syarikat atau pembangun ini tidak "selamat" dengan perisian yang mereka gunakan, ramai di antara kita akan memikirkan perkara yang paling logik, supaya mereka "membayar" atau "menyokong pembangunan, sama ada dengan memperuntukkan sumber atau pembangun", tetapi di sini pada titik ini adalah di mana salah satu perdebatan hebat perisian sumber terbuka masuk, di mana jika sumber terbuka harus "dibayar".
Oleh itu, terdapat banyak contoh perisian sumber terbuka yang mengendalikan dua versi, iaitu berbayar dan percuma, malah hanya berbayar, tetapi kod sumbernya tersedia.
Sebaliknya, terdapat juga pergerakan oleh pemaju dan syarikat besar, di mana mereka memutuskan untuk menukar model pengedaran atau beralih kepada model pembayaran, contohnya QT.
Tanpa lebih, bagi yang berminat untuk mengetahui lebih lanjut mengenainya mengenai nota, anda boleh rujuk butiran dalam pautan berikut.