Уязвимости безопасности в программном обеспечении с открытым исходным кодом иногда остаются незамеченными более четырех лет. Это один из ключевых выводов последнего отчета State of the Octoverse. платформы для размещения и управления разработкой программного обеспечения GitHub.
Однако это утверждение не совсем верно, как на основе технического прогресса и тот факт, что в последние годы многие крупные компании и разработчики присоединились к программному обеспечению с открытым исходным кодом, это позволило ускорить продвижение вперед с точки зрения разработки, создания инструментов для тестирования и особенно обнаружения уязвимостей.
Хотя это все еще реальность, недостаточное финансирование (что приводит к сокращению человеческих ресурсов) в большинстве случаев является препятствием для поиска и обнаружение этих уязвимостей.
Heartbleed, например, уязвимость программного обеспечения, присутствующего в библиотеке криптографии OpenSSL с марта 2012 года. Позволяет злоумышленнику считывать память с сервера или клиента для восстановления, используемого во время связи TLS. Недостаток, затрагивающий многие интернет-сервисы, не был обнаружен до марта 2014 года и был обнародован в апреле 2014 года. Таким образом, у хакеров оставалось двухлетнее окно для атаки тысяч серверов.
Уязвимость якобы попала в репозиторий OpenSSL по ошибке следуя предложению разработчика-добровольца исправить ошибки и улучшить функции.
Дефекты этого типа (введено по ошибке) представляют 83% обнаруженных в проектах открытый исходный код, размещенный на GitHub. Тем не менее, последний отчет State of the Octoverse заявляет, что 17% уязвимостей намеренно введены злонамеренными третьими сторонами.
Эти цифры следует дополнить недавним отчетом Risksense, в котором подчеркивается, что недостатки в программном обеспечении с открытым исходным кодом постоянно растут. ИТ-проекты все чаще основываются на открытом исходном коде, что объясняет растущий интерес хакеров к этой области.
Уязвимость может нанести ущерб вашей работе и вызвать крупномасштабные проблемы с безопасностью. Однако большинство уязвимостей связано с ошибками, а не с атаками злоумышленников.
Полагаясь на открытый исходный код, когда это возможно, ваша команда извлекает выгоду из всех исправлений, обнаруженных и исправленных сообществом. Время на исправление - важный компонент для всех команд DevOps.
Модель финансирования из сферы открытого кода является одним из факторов, которые с наибольшей вероятностью объясняют, почему уязвимости программного обеспечения Они остаются незамеченными в такие важные моменты. Инициатива центральной инфраструктуры (CII) - один из немногих проектов по финансированию и поддержке проектов бесплатного программного обеспечения с открытым исходным кодом, которые необходимы для функционирования Интернета и других крупных информационных систем.
Большинство проектов на GitHub основаны на программном обеспечении с открытым исходным кодом. Этот анализ включал общедоступные репозитории с открытым исходным кодом, по крайней мере, один раз в месяц в период с 10.1.2019 по 30.09.2020.
Последний был предметом объявления после критической уязвимости Heartbleed в OpenSSL, которая используется миллионами веб-сайтов. Проблема: CII полагается на вклад хорошо зарекомендовавших себя игроков в мире проприетарного программного обеспечения. Facebook, VMWare, Microsoft, Comcast и Oracle (если назвать только эти компании) финансируют Linux Foundation и, следовательно, такие проекты, как Central Infrastructure Initiative (CII).
Это дает им места в различных досках принятия решений и, следовательно, некоторый контроль над тем, что происходит на арене с открытым исходным кодом. Брайан Лундук, бывший член правления openSUSE, обсуждает это положение дел более подробно.
Непосредственным следствием является то, что проекты с открытым исходным кодом, которые получают финансирование те, на которых в основном основана их инфраструктура.
Наконец, если вам интересно узнать об этом больше, вы можете посетить следующий веб-сайт, где вы можете найти собранные отчеты.