Recent apariția lui un nou raport de la firma de securitate pentru dezvoltatori Snyk și Linux Foundation, despre cercetările lor comune privind starea securității software-ului open source.
În postarea ta Aceștia detaliază că rezultatele nu sunt încurajatoare pentru companii, atunci Există o mare varietate de riscuri de securitate semnificative care rezultă din utilizarea pe scară largă a software-ului open source în cadrul dezvoltării de aplicații moderne, precum și cât de multe organizații sunt în prezent prost pregătite pentru a gestiona eficient aceste riscuri.
Mai exact, raportul a constatat:
Mai mult de patru din zece (41%) organizații nu sunt foarte încrezători în securitatea software-ului lor open source;
Proiectul mediu de dezvoltare a aplicațiilor are 49 de vulnerabilități și 80 de dependențe directe (cod sursă deschis numit de un proiect); și,
Timpul necesar remedierii vulnerabilităților din proiectele open source a crescut constant, dublandu-se de la 49 de zile în 2018 la 110 zile în 2021.
Se menționează că în general un proiect dezvoltarea aplicației are o medie de 49 de vulnerabilități și 80 de dependențe directe. În plus, timpul necesar pentru remedierea vulnerabilităților în proiectele open source a crescut constant, dublandu-se de la 49 de zile în 2018 la 110 de zile în 2021.
» Dezvoltatorii de software din ziua de azi au propriile lor lanțuri de aprovizionare: în loc să asambleze piese auto, ei asamblează codul unind componentele open source existente cu codul lor unic. „Dacă acest lucru duce la o productivitate și inovare mai mari”, explică Matt Jarvis, Director de Relații cu Dezvoltatorii la Snyk. Împreună cu Fundația Linux, intenționăm să valorificăm aceste descoperiri pentru a educa și a echipa dezvoltatorii din întreaga lume, permițându-le să continue construirea rapidă, rămânând în siguranță.”
Printre alte rezultate, doar 49% dintre organizații au o politică de securitate pentru dezvoltarea sau utilizarea de software liber (și această cifră este de doar 27% pentru companiile mijlocii și mari). În timp ce 30% dintre organizațiile fără o politică de securitate a software-ului gratuit recunosc deschis că nimeni din echipa lor nu se adresează în mod direct securității software-ului gratuit.
Complexitatea lanțului de aprovizionare este, de asemenea, o problemă, mai mult de un sfert dintre respondenți indicând că sunt îngrijorați de impactul asupra securității al dependențelor lor directe. Doar 18% spun că au încredere în controalele pe care le gestionează.
Până acum, Este important să evidențiem două situații, primul dintre ei este momentul în care dezvoltatorii încorporează o componentă open source în aplicațiile dvs., sunteți imediat devin dependente de acea componentă și sunt în pericol dacă acea componentă conține vulnerabilități.
Celălalt și care s-a văzut frecvent în ultimii ani este că acest risc este agravat și de dependențe indirecte sau tranzitive, care sunt dependențele celorlalte dependențe, aici mulți dezvoltatori nici măcar nu cunosc aceste dependențe, ceea ce le face să fie chiar mai greu de urmărit și protejat.
Cu aceasta, putem înțelege puțin că raportul arată cât de real este acest risc, cu zeci de vulnerabilități descoperite în multe dependențe directe în fiecare aplicație evaluată. Acestea fiind spuse, într-o oarecare măsură, respondenții sunt conștienți de complexitățile de securitate create de open source în lanțul de aprovizionare software de astăzi:
Mai mult de un sfert dintre respondenți au declarat că sunt îngrijorați de impactul asupra securității al dependențelor lor directe; Doar 18% dintre respondenți au spus că au încredere în controalele pe care le au pentru dependențele lor tranzitive; și,Patruzeci la sută din toate vulnerabilitățile au fost găsite în dependențe tranzitive.
De asemenea, este important de menționat că, dacă aceste companii sau dezvoltatori nu sunt „în siguranță” cu software-ul pe care îl folosesc, mulți dintre noi se vor gândi la cel mai logic lucru, întrucât „plătesc” sau „suțin dezvoltarea, fie prin alocarea de resurse, fie dezvoltatori”, dar aici, în Acest punct este locul în care intervine una dintre marile dezbateri ale software-ului open source, în cazul în care open source ar trebui să fie „plătit”.
Ca atare, există multe exemple de software cu sursă deschisă care se ocupă de două versiuni, care sunt plătite și gratuite, și chiar și acestea sunt doar plătite, dar codul sursă este disponibil.
Pe de altă parte, mișcări au fost văzute și de dezvoltatori și companii mari, în care decid să schimbe modelul de distribuție sau să treacă la un model de plată, de exemplu QT.
Fără mai mult, Pentru cei interesați să afle mai multe despre el Despre nota, puteti consulta detaliile la următorul link.