Luki w zabezpieczeniach oprogramowania typu open source czasami pozostają niewykryte od ponad czterech lat. To jeden z kluczowych wniosków ostatniego raportu State of the Octoverse platformy do hostowania i zarządzania tworzeniem oprogramowania GitHub.
Jednak to stwierdzenie nie jest do końca prawdziwe, od kiedy w oparciu o postęp technologiczny oraz fakt, że w ostatnich latach wiele dużych firm i programistów dołączyło do oprogramowania open source, pozwoliło to na coraz szybszy postęp w zakresie rozwoju, tworzenia narzędzi do testowania, a zwłaszcza wykrywania podatności.
Chociaż nadal jest rzeczywistością, to niewystarczające finansowanie (prowadzące do redukcji zasobów ludzkich) jest przeważnie przeszkodą w poszukiwaniach i odkrycie tych luk.
Na przykład Heartbleed jest słabym punktem oprogramowania znajdującego się w bibliotece kryptograficznej OpenSSL od marca 2012. Umożliwia atakującemu odczytywanie pamięci serwera lub klienta używanego podczas komunikacji z protokołem Transport Layer Security Protocol (TLS). Luka, która dotyczy wielu usług internetowych, została odkryta dopiero w marcu 2014 r. I została upubliczniona w kwietniu 2014 r. W ten sposób hakerzy mogli zaatakować tysiące serwerów przez dwa lata.
Luka ta rzekomo przypadkowo trafiła do repozytorium OpenSSL zgodnie z propozycją wolontariusza, aby naprawić błędy i ulepszyć funkcje.
Wady tego typu (wprowadzone przez pomyłkę) stanowią 83% odkrytych w projektach open source hostowany na GitHub. Jednak najnowszy raport State of the Octoverse stwierdza, że 17% to luki w zabezpieczeniach celowo wprowadzone przez złośliwe strony trzecie.
Są to liczby, które powinien uzupełnić niedawny raport Risksense, w którym podkreśla się, że liczba luk w oprogramowaniu typu open source stale rośnie. Projekty IT w coraz większym stopniu opierają się na otwartym oprogramowaniu, co tłumaczy rosnące zainteresowanie hakerów tą dziedziną.
Luka może siać spustoszenie w Twojej pracy i powodować problemy z bezpieczeństwem na dużą skalę. Jednak większość luk jest spowodowana błędami, a nie złośliwymi atakami.
Opierając się na oprogramowaniu typu open source, gdy tylko możesz, Twój zespół korzysta ze wszystkich poprawek znalezionych i naprawionych przez społeczność. Czas na naprawę jest ważnym elementem dla wszystkich zespołów DevOps
Model finansowania ze sfery open source jest jednym z czynników, które najprawdopodobniej wyjaśniają, dlaczego luki w oprogramowaniu W tak ważnych momentach pozostają niezauważone. Centralna Inicjatywa Infrastrukturalna (CII) jest jednym z nielicznych projektów finansujących i wspierających projekty oprogramowania wolnego i otwartego, które są niezbędne do funkcjonowania Internetu i innych dużych systemów informatycznych.
Większość projektów na GitHubie opiera się na oprogramowaniu open source. Analiza ta obejmowała repozytoria publiczne typu open source z co najmniej jednym wkładem w każdym miesiącu między 10.1.2019 a 30.09.2020.
Ta ostatnia była przedmiotem ogłoszenia po krytycznej luce Heartbleed w OpenSSL, z której korzystają miliony witryn. Problem: CII polega na wkładach graczy o ugruntowanej pozycji w świecie prawnie zastrzeżonego oprogramowania. Facebook, VMWare, Microsoft, Comcast i Oracle (żeby wymienić tylko te firmy) finansują Linux Foundation, a tym samym projekty takie jak Central Infrastructure Initiative (CII).
To daje im miejsca w różnych radach decyzyjnych, a tym samym pewną kontrolę nad tym, co dzieje się na arenie open source. Bryan Lunduke, były członek zarządu openSUSE, omawia ten stan rzeczy bardziej szczegółowo.
Bezpośrednia konsekwencja jest taka projekty open source, które korzystają z finansowania to te, na których opiera się głównie ich infrastruktura.
Wreszcie, jeśli chcesz dowiedzieć się więcej na ten tematmożesz odwiedzić następującą witrynę internetową, na której znajdziesz zebrane raporty.