Nedávno bolo zverejnené o nová správa od vývojárskej bezpečnostnej firmy Snyk a Linux Foundation, o ich spoločnom výskume stavu bezpečnosti open source softvéru.
Vo vašom príspevku detail, že výsledky nie sú pre spoločnosti povzbudivé, potom existuje široká škála významných bezpečnostných rizík vyplývajú zo širokého používania softvéru s otvoreným zdrojovým kódom v rámci vývoja moderných aplikácií, ako aj z toho, koľko organizácií je v súčasnosti zle pripravených na efektívne riadenie týchto rizík.
V správe sa konkrétne zistilo:
Viac ako štyri z desiatich (41 %) organizácií si nie sú veľmi istí bezpečnosťou svojho softvéru s otvoreným zdrojovým kódom;
Priemerný projekt vývoja aplikácií má 49 zraniteľností a 80 priamych závislostí (otvorený zdrojový kód nazývaný projektom); Y,
Čas potrebný na opravu slabých miest v projektoch s otvoreným zdrojovým kódom sa neustále zvyšuje, pričom sa viac ako zdvojnásobil zo 49 dní v roku 2018 na 110 dní v roku 2021.
Je to spomenuté vo všeobecnosti projekt vývoj aplikácií má v priemere 49 zraniteľností a 80 priamych závislostí. Čas potrebný na opravu zraniteľností v projektoch s otvoreným zdrojovým kódom sa navyše neustále zvyšuje, pričom sa viac ako zdvojnásobil zo 49 dní v roku 2018 na 110 dní v roku 2021.
» Dnešní vývojári softvéru majú svoje vlastné dodávateľské reťazce: namiesto zostavovania automobilových dielov zostavujú kód spájaním existujúcich open source komponentov s ich jedinečným kódom. Ak to povedie k zvýšeniu produktivity a inovácií,“ vysvetľuje Matt Jarvis, riaditeľ pre vzťahy s vývojármi v spoločnosti Snyk. Spolu s Linux Foundation plánujeme stavať na týchto zisteniach a ďalej vzdelávať a vybavovať vývojárov na celom svete, čo im umožní pokračovať v rýchlom budovaní a zároveň zostať v bezpečí.“
Okrem iných výsledkov, iba 49 % organizácií má bezpečnostnú politiku na vývoj alebo používanie slobodného softvéru (a toto číslo je len 27 % pre stredné a veľké spoločnosti). Zatiaľ čo 30 % organizácií bez zásad zabezpečenia slobodného softvéru otvorene priznáva, že nikto z ich tímu sa priamo nezaoberá bezpečnosťou slobodného softvéru.
Problémom je aj zložitosť dodávateľského reťazca, pričom viac ako štvrtina respondentov uviedla, že majú obavy z bezpečnostného dopadu ich priamych závislostí. Len 18 % uviedlo, že sú si istí ovládaním, ktoré ovládajú.
Zatiaľ Je dôležité zdôrazniť dve situácie, prvý z nich je v čase, keď vývojári pridávajú komponent open source vo vašich aplikáciách, ste okamžite stať sa závislým od tejto zložky a sú ohrozené, ak tento komponent obsahuje zraniteľné miesta.
Druhou a v posledných rokoch často vidno je, že toto riziko zvyšujú aj nepriame alebo tranzitívne závislosti, ktoré sú závislosťami „ďalších závislostí“, tu o týchto závislostiach veľa vývojárov ani nevie, čím sa stáva ťažšie sledovať a chrániť.
Vďaka tomu môžeme trochu pochopiť, že správa ukazuje, aké reálne je toto riziko, s desiatkami zraniteľností objavených v mnohých priamych závislostiach v každej hodnotenej aplikácii. Respondenti si však do určitej miery uvedomujú zložitosť zabezpečenia, ktorú vytvára open source v dnešnom dodávateľskom reťazci softvéru:
Viac ako štvrtina respondentov uviedla, že majú obavy z bezpečnostného vplyvu ich priamych závislostí, iba 18 % respondentov uviedlo, že dôverujú kontrolám, ktoré majú pre svoje prechodné závislosti; a štyridsať percent všetkých zraniteľností sa našlo v prechodných závislostiach.
Dôležité je tiež spomenúť, že ak tieto firmy alebo vývojári nie sú „v bezpečí“ so softvérom, ktorý používajú, mnohých z nás napadne to najlogickejšie, že „zaplatia“ alebo „podporia vývoj, či už alokáciou zdrojov, resp. vývojári“, ale v tomto bode prichádza jedna z veľkých diskusií o softvéri s otvoreným zdrojovým kódom, kde by sa mal „platiť“ open source.
Ako taký existuje veľa príkladov softvéru s otvoreným zdrojovým kódom, ktorý zvláda dve verzie, ktoré sú platené a bezplatné, a dokonca iba platené, ale zdrojový kód je dostupný.
Na druhej strane došlo aj k pohybom vývojárov a veľkých spoločností, v ktorých sa rozhodnú zmeniť distribučný model alebo prejsť na platobný model, napríklad QT.
Bez ďalších, pre tých, ktorí majú záujem dozvedieť sa o ňom viac o poznámke si môžete prečítať podrobnosti v nasledujúci odkaz.