Sikkerhetsproblemer i programvare med åpen kildekode blir ikke oppdaget i mer enn fire år. Dette er en av de viktigste funnene i den siste rapporten om tilstanden til Octoverse av programvareutviklings- og administrasjonsplattformen GitHub.
Men denne påstanden er ikke helt sant, som basert på teknologisk fremskritt og det faktum at mange store selskaper og utviklere de siste årene har sluttet seg til programvare med åpen kildekode, har dette muliggjort et stadig akselerert fremskritt når det gjelder utvikling, oppretting av verktøy for testing og spesielt deteksjon av sårbarhet.
Selv om det fremdeles er en realitet, er at utilstrekkelig finansiering (fører til en reduksjon i menneskelige ressurser) er mesteparten av tiden et hinder for søket og oppdagelsen av disse sårbarhetene.
Heartbleed er for eksempel en sårbarhet av programvare som er tilstede i kryptografibiblioteket OpenSSL siden mars 2012. Lar en angriper lese minnet til en server eller klient for å gjenopprette det som er brukt under en kommunikasjon med Transport Layer Security Protocol (TLS). Feilen som påvirker mange internettjenester ble ikke oppdaget før i mars 2014 og ble offentliggjort i april 2014. Det etterlot et to års vindu for hackere å angripe tusenvis av servere.
Sårbarheten havnet angivelig i OpenSSL-depotet ved en feiltakelse etter et forslag fra en frivillig utvikler om å fikse feil og forbedre funksjoner.
Manglene av denne typen (angitt ved en feiltakelse) representerer 83% av de som ble oppdaget i prosjekter åpen kildekode vert på GitHub. Imidlertid den siste State of the Octoverse-rapporten sier at 17% er sårbarheter med vilje introdusert av ondsinnede tredjeparter.
Dette er tall som bør suppleres med en nylig Risksense-rapport som understreker at feil i åpen kildekode-programvare stadig vokser. IT-prosjekter er i økende grad basert på åpen kildekode, noe som forklarer den økende interessen til hackere i feltet.
Et sårbarhet kan forårsake kaos på arbeidet ditt og forårsake store sikkerhetsproblemer. Imidlertid skyldes de fleste sårbarheter feil, ikke ondsinnede angrep.
Ved å stole på åpen kildekode når du kan, drar teamet ditt fordel av alle løsningene som er funnet og utbedret av samfunnet. Tid til å rette opp er en viktig komponent for alle DevOps-team
Finansieringsmodellen fra open source-sfæren er blant faktorene som mest sannsynlig forklarer hvorfor programvaresårbarheter De blir ubemerket i slike viktige øyeblikk. Central Infrastructure Initiative (CII) er et av få prosjekter for å finansiere og støtte gratis og åpen kildekode programvareprosjekter som er essensielle for at internett og andre store informasjonssystemer skal fungere.
De fleste prosjektene på GitHub er basert på programvare med åpen kildekode. Denne analysen inkluderte offentlige kilder med åpen kildekode med minst ett bidrag i hver måned mellom 10.1.2019 og 30.09.2020.
Sistnevnte har vært gjenstand for en kunngjøring etter den kritiske Heartbleed-sårbarheten i OpenSSL som brukes av millioner av nettsteder. Problem: CII er avhengig av bidrag fra veletablerte aktører i egen programvareverden. Facebook, VMWare, Microsoft, Comcast og Oracle (for å bare nevne disse selskapene) finansierer Linux Foundation, og dermed prosjekter som Central Infrastructure Initiative (CII).
Dette gir dem plass i de ulike beslutningstavlene, og dermed litt kontroll over hva som skjer på open source-arenaen. Bryan Lunduke, tidligere styremedlem i openSUSE, diskuterer denne tilstanden nærmere.
Den umiddelbare konsekvensen er at open source-prosjekter som drar nytte av finansiering er de som infrastrukturen deres hovedsakelig er basert på.
Endelig, hvis du er interessert i å vite mer om det, kan du gå til følgende nettside hvor du kan finne de innsamlede rapportene.