Niedawno ukazała się publikacja nowy raport od deweloperskiej firmy bezpieczeństwa Snyk i Linux Foundation, o ich wspólnych badaniach nad stanem bezpieczeństwa oprogramowania open source.
W swoim poście szczegółowo, że wyniki nie są zachęcające dla firm, tak istnieje wiele różnych istotnych zagrożeń bezpieczeństwa wynikające z powszechnego stosowania oprogramowania open source w ramach tworzenia nowoczesnych aplikacji, a także z tego, jak wiele organizacji jest obecnie nieprzygotowanych do skutecznego zarządzania tymi zagrożeniami.
W szczególności raport wykazał:
Więcej niż cztery na dziesięć (41%) organizacji nie jest przekonanych do bezpieczeństwa swojego oprogramowania open source;
Przeciętny projekt tworzenia aplikacji ma 49 luk w zabezpieczeniach i 80 bezpośrednich zależności (kod open source wywoływany przez projekt); Tak,
Czas potrzebny na naprawienie luk w projektach open source stale się wydłuża, ponad dwukrotnie, z 49 dni w 2018 r. do 110 dni w 2021 r.
Wspomina się, że ogólnie projekt tworzenie aplikacji ma średnio 49 podatności i 80 bezpośrednich zależności. Dodatkowo, czas potrzebny na naprawę luk w projektach open source stale się wydłuża, ponad dwukrotnie z 49 dni w 2018 r. do 110 dni w 2021 r.
» Dzisiejsi programiści mają własne łańcuchy dostaw: zamiast montować części samochodowe, montują kod, łącząc istniejące komponenty open source z ich unikalnym kodem. Jeśli prowadzi to do zwiększenia produktywności i innowacji”, wyjaśnia Matt Jarvis, dyrektor ds. relacji deweloperów w firmie Snyk. Wspólnie z Linux Foundation planujemy wykorzystać te odkrycia, aby dalej edukować i wyposażać programistów na całym świecie, umożliwiając im szybkie budowanie przy jednoczesnym zachowaniu bezpieczeństwa”.
Wśród innych wyników, tylko 49% organizacji posiada politykę bezpieczeństwa na rozwój lub używanie wolnego oprogramowania (a liczba ta wynosi tylko 27% dla średnich i dużych firm). Podczas gdy 30% organizacji bez polityki bezpieczeństwa wolnego oprogramowania otwarcie przyznaje, że nikt z ich zespołu nie zajmuje się bezpośrednio bezpieczeństwem wolnego oprogramowania.
Problemem jest również złożoność łańcucha dostaw, przy czym ponad jedna czwarta respondentów wskazuje, że obawia się wpływu ich bezpośrednich zależności na bezpieczeństwo. Tylko 18% twierdzi, że ma pewność co do stosowanych przez siebie kontroli.
Do tego momentu, Ważne jest, aby podkreślić dwie sytuacje, pierwszy z nich jest w momencie, gdy programiści dodają komponent open source w Twoich aplikacjach, jesteś od razu stać się zależnym od tego składnika i są zagrożone, jeśli ten składnik zawiera luki.
Innym i często obserwowanym w ostatnich latach jest to, że ryzyko to jest również potęgowane przez zależności pośrednie lub przechodnie, które są zależnościami „innych zależności”, tutaj wielu programistów nawet nie wie o tych zależnościach, co sprawia, że nawet trudniejsze do śledzenia i ochrony.
Dzięki temu możemy trochę zrozumieć, że raport pokazuje, jak realne jest to ryzyko, z dziesiątkami luk wykrytych w wielu bezpośrednich zależnościach w każdej ocenianej aplikacji. To powiedziawszy, do pewnego stopnia respondenci są świadomi złożoności bezpieczeństwa stworzonej przez open source w dzisiejszym łańcuchu dostaw oprogramowania:
Ponad jedna czwarta respondentów stwierdziła, że obawia się wpływu ich bezpośrednich zależności na bezpieczeństwo, tylko 18% respondentów stwierdziło, że ufa kontroli, jaką mają w przypadku zależności przejściowych; oraz,czterdzieści procent wszystkich luk zostało znalezionych w zależnościach przechodnich.
Należy również wspomnieć, że jeśli te firmy lub programiści nie są „bezpieczni” z oprogramowaniem, którego używają, wielu z nas pomyśli o najbardziej logicznej rzeczy, aby „płacić” lub „wspierać rozwój” poprzez alokację zasobów lub deweloperów”, ale w tym momencie pojawia się jedna z wielkich debat na temat oprogramowania open source, gdzie jeśli open source powinno być „płatne”.
W związku z tym istnieje wiele przykładów oprogramowania open source, które obsługuje dwie wersje, płatne i bezpłatne, a nawet tylko płatne, ale kod źródłowy jest dostępny.
Z drugiej strony pojawiły się również ruchy deweloperów i dużych firm, w których decydują się na zmianę modelu dystrybucji lub przejście na model płatności, na przykład QT.
Bez więcej dla zainteresowanych dowiedzieć się więcej na ten temat o notatce możesz zapoznać się ze szczegółami w poniższy link.