В последнее время публикация новый отчет от фирмы безопасности разработчиков Snyk и Linux Foundation, об их совместном исследовании состояния безопасности программного обеспечения с открытым исходным кодом.
В вашем посте уточните, что результаты не обнадеживают компании, для существует широкий спектр значительных рисков безопасности в результате широкого использования программного обеспечения с открытым исходным кодом в современной разработке приложений, а также из-за того, что многие организации в настоящее время плохо подготовлены к эффективному управлению этими рисками.
В частности, в отчете было обнаружено:
Более четырех из десяти (41%) организаций не очень уверены в безопасности своего программного обеспечения с открытым исходным кодом;
Средний проект разработки приложений имеет 49 уязвимостей и 80 прямых зависимостей (открытый исходный код, вызываемый проектом); Y,
Время, необходимое для исправления уязвимостей в проектах с открытым исходным кодом, неуклонно растет, увеличившись более чем вдвое с 49 дней в 2018 году до 110 дней в 2021 году.
Упоминается, что вообще проект разработка приложения имеет в среднем 49 уязвимостей и 80 прямых зависимостей. Кроме того, время, необходимое для устранения уязвимостей в проектах с открытым исходным кодом, неуклонно увеличивается, увеличившись более чем вдвое с 49 дней в 2018 году до 110 дней в 2021 году.
» Современные разработчики программного обеспечения имеют свои собственные цепочки поставок: вместо того, чтобы собирать автомобильные детали, они собирают код, объединяя существующие компоненты с открытым исходным кодом со своим уникальным кодом. Если это приведет к повышению производительности и инновациям», — объясняет Мэтт Джарвис, директор по связям с разработчиками в Snyk. Вместе с Linux Foundation мы планируем использовать полученные результаты для дальнейшего обучения и оснащения разработчиков по всему миру, что позволит им продолжать разработку быстро, оставаясь при этом в безопасности».
Среди прочих результатов, только 49% организаций имеют политику безопасности на разработку или использование бесплатного программного обеспечения (а этот показатель составляет всего 27% для средних и крупных компаний). В то время как 30% организаций, не имеющих политики безопасности свободного программного обеспечения, открыто признают, что никто в их команде не занимается непосредственно безопасностью свободного программного обеспечения.
Сложность цепочки поставок также является проблемой, причем более четверти респондентов заявили, что обеспокоены влиянием на безопасность своих прямых зависимостей. Только 18% говорят, что они уверены в средствах управления, с которыми они работают.
До этого момента, Важно выделить две ситуации, первый из них пока разработчики добавляют компонент с открытым исходным кодом в ваших приложениях, вы немедленно стать зависимым от этого компонента и подвержены риску, если этот компонент содержит уязвимости.
Другое, что часто наблюдается в последние годы, заключается в том, что этот риск также усугубляется косвенными или транзитивными зависимостями, которые являются зависимостями «других зависимостей», здесь многие разработчики даже не знают об этих зависимостях, что делает его даже труднее отслеживать и защищать.
При этом мы можем немного понять, что отчет показывает, насколько реален этот риск, с десятками уязвимостей, обнаруженных во многих прямых зависимостях в каждом оцениваемом приложении. Тем не менее, респонденты в некоторой степени осведомлены о сложностях безопасности, создаваемых открытым исходным кодом в современной цепочке поставок программного обеспечения:
Более четверти респондентов заявили, что их беспокоит влияние их прямых зависимостей на безопасность, и только 18% респондентов заявили, что доверяют элементам управления, которые у них есть для их транзитивных зависимостей; и сорок процентов всех уязвимостей были обнаружены в транзитивных зависимостях.
Также важно отметить, что если эти компании или разработчики не «безопасны» с программным обеспечением, которое они используют, многие из нас придумают наиболее логичную вещь, чтобы они «оплачивали» или «поддерживали разработку, либо путем выделения ресурсов, либо разработчиков», но здесь вступает в действие один из самых больших споров о программном обеспечении с открытым исходным кодом, где, если открытый исходный код должен быть «платным».
Таким образом, существует множество примеров программного обеспечения с открытым исходным кодом, которое поддерживает две версии, платную и бесплатную, и даже только платную, но исходный код доступен.
С другой стороны, также были движения со стороны разработчиков и крупных компаний, когда они решают изменить модель распространения или перейти на платежную модель, например QT.
Без большего, для тех, кому интересно узнать об этом больше о примечании, вы можете ознакомиться с деталями в по следующей ссылке.