Vulnerabilitățile de securitate din programele open source rămân uneori nedetectate de mai bine de patru ani. Aceasta este una dintre concluziile cheie ale ultimului raport privind starea Octoversului a platformei de găzduire și gestionare a software-ului GitHub.
Totuși această afirmație nu este pe deplin adevărată, întrucât pe baza avansului tehnologic și faptul că în ultimii ani multe companii și dezvoltatori mari s-au alăturat programelor open source, acest lucru a permis un progres din ce în ce mai accelerat în ceea ce privește dezvoltarea, crearea de instrumente pentru testare și în special detectarea vulnerabilităților.
Deși este încă o realitate este că finanțarea insuficientă (ducând la o reducere a resurselor umane) este de cele mai multe ori un obstacol în calea căutării și descoperirea acestor vulnerabilități.
Heartbleed, de exemplu, este o vulnerabilitate a software-ului prezent în biblioteca criptografică OpenSSL din martie 2012. Permite unui atacator să citească memoria unui server sau client pentru recuperare folosită în timpul unei comunicări cu protocolul Transport Layer Security (TLS). Defectul care afectează multe servicii de Internet nu a fost descoperit decât în martie 2014 și a fost făcut public în aprilie 2014. Acest lucru a lăsat o fereastră de doi ani pentru ca hackerii să atace mii de servere.
Vulnerabilitatea ar fi ajuns în greșeală în depozitul OpenSSL în urma unei propuneri din partea unui dezvoltator voluntar de a remedia erorile și de a îmbunătăți caracteristicile.
Defectele de acest tip (introdus din greșeală) reprezintă 83% dintre cei descoperiți în proiecte open source găzduit pe GitHub. Cu toate acestea, cel mai recent raport despre starea Octoversului afirmă că 17% sunt vulnerabilități introduse intenționat de terțe părți rău intenționate.
Acestea sunt cifre care ar trebui completate de un recent raport Risksense care subliniază că defectele software-ului open source sunt în continuă creștere. Proiectele IT se bazează din ce în ce mai mult pe open source, ceea ce explică interesul crescând al hackerilor în domeniu.
O vulnerabilitate poate face ravagii în munca dvs. și poate provoca probleme de securitate pe scară largă. Cu toate acestea, majoritatea vulnerabilităților se datorează bug-urilor, nu atacurilor rău intenționate.
Bazându-vă pe open source atunci când puteți, echipa dvs. beneficiază de toate remedierile găsite și remediate de comunitate. Timpul de remediere este o componentă importantă pentru toate echipele DevOps
Modelul de finanțare din sfera open source este printre factorii cu cea mai mare probabilitate de a explica de ce vulnerabilitățile software Ei trec neobservați în momente atât de importante. Inițiativa de infrastructură centrală (CII) este unul dintre puținele proiecte de finanțare și susținere a proiectelor software gratuite și open source care sunt esențiale pentru funcționarea internetului și a altor sisteme de informații mari.
Majoritatea proiectelor de pe GitHub se bazează pe software open source. Această analiză a inclus depozite publice open source cu cel puțin o contribuție în fiecare lună între 10.1.2019 și 30.09.2020.
Acesta din urmă a făcut obiectul unui anunț în urma vulnerabilității critice Heartbleed din OpenSSL, care este utilizată de milioane de site-uri web. Problemă: CII se bazează pe contribuțiile unor jucători consacrați în lumea software-ului proprietar. Facebook, VMWare, Microsoft, Comcast și Oracle (pentru a numi doar aceste companii) finanțează Fundația Linux și, astfel, proiecte precum Inițiativa de infrastructură centrală (CII).
Acest lucru le oferă locuri în diferitele comitete decizionale și, prin urmare, un anumit control asupra a ceea ce se întâmplă în arena open source. Bryan Lunduke, fost membru al Consiliului openSUSE, discută în detaliu această stare de fapt.
Consecința imediată este că proiecte open source care beneficiază de finanțare sunt cele pe care se bazează în principal infrastructurile lor.
În cele din urmă, dacă sunteți interesat să aflați mai multe despre asta, puteți consulta următorul site web unde puteți găsi rapoartele colectate.