Pred kratkim je objava novo poročilo varnostnega podjetja za razvijalce Snyk in fundacije Linux, o skupnem raziskovanju stanja varnosti odprtokodne programske opreme.
V vaši objavi podrobnosti, da rezultati niso spodbudni za podjetja, dobro obstaja veliko različnih pomembnih varnostnih tveganj posledica široke uporabe odprtokodne programske opreme v sodobnem razvoju aplikacij, pa tudi koliko organizacij je trenutno slabo pripravljenih za učinkovito obvladovanje teh tveganj.
Natančneje, poročilo ugotavlja:
Več kot štiri od desetih (41 %) organizacij niso zelo prepričane v varnost svoje odprtokodne programske opreme;
Povprečni projekt razvoja aplikacije ima 49 ranljivosti in 80 neposrednih odvisnosti (odprtokodna koda, ki jo kliče projekt); Y,
Čas, ki je potreben za odpravo ranljivosti v odprtokodnih projektih, se vztrajno povečuje in se je več kot podvojil z 49 dni v letu 2018 na 110 dni v letu 2021.
Omenjeno je, da na splošno projekt razvoj aplikacij ima v povprečju 49 ranljivosti in 80 neposrednih odvisnosti. Poleg tega se čas, potreben za odpravo ranljivosti v odprtokodnih projektih, vztrajno povečuje in se je več kot podvojil z 49 dni v letu 2018 na 110 dni v letu 2021.
» Današnji razvijalci programske opreme imajo svoje lastne dobavne verige: namesto sestavljanja avtomobilskih delov sestavljajo kodo tako, da združujejo obstoječe odprtokodne komponente s svojo edinstveno kodo. Če to vodi k večji produktivnosti in inovativnosti,« pojasnjuje Matt Jarvis, direktor odnosov z razvijalci pri Snyk. Skupaj z Linux Foundation nameravamo graditi na teh ugotovitvah za nadaljnje izobraževanje in opremljanje razvijalcev po vsem svetu, kar jim bo omogočilo, da še naprej gradijo hitro in hkrati ostanejo varni."
Med drugimi rezultati samo 49 % organizacij ima varnostno politiko za razvoj ali uporabo brezplačne programske opreme (in ta številka je le 27% za srednja in velika podjetja). Medtem ko 30 % organizacij brez varnostne politike brezplačne programske opreme odkrito priznava, da se nihče v njihovi ekipi ne ukvarja neposredno z varnostjo brezplačne programske opreme.
Težava je tudi kompleksnost dobavne verige, pri čemer je več kot četrtina anketirancev navedla, da jih skrbi varnostni vpliv njihove neposredne odvisnosti. Samo 18 % jih pravi, da so prepričani v kontrole, ki jih uporabljajo.
Do te točke, Pomembno je izpostaviti dve situaciji, prvi od njih je takrat razvijalci dodajo komponento odprtokodno v svojih aplikacijah, ste takoj postati odvisen od te komponente in so ogroženi, če ta komponenta vsebuje ranljivosti.
Drugo, kar je bilo pogosto opaženo v zadnjih letih, je, da to tveganje povečajo tudi posredne ali tranzitivne odvisnosti, ki so odvisnosti "drugih odvisnosti", pri čemer mnogi razvijalci sploh ne vedo za te odvisnosti, zaradi česar je celo težje jih je izslediti in zaščititi.
S tem lahko malo razumemo, da poročilo kaže, kako resnično je to tveganje, z desetinami ranljivosti, odkritih v številnih neposrednih odvisnostih v vsaki ocenjeni aplikaciji. Kljub temu se anketiranci do neke mere zavedajo varnostnih težav, ki jih ustvarja odprta koda v današnji dobavni verigi programske opreme:
Več kot četrtina anketirancev je izjavila, da jih skrbi varnostni vpliv njihovih neposrednih odvisnosti; le 18 % anketirancev je dejalo, da zaupajo nadzoru, ki ga imajo za svoje prehodne odvisnosti; in štirideset odstotkov vseh ranljivosti je bilo najdenih v prehodnih odvisnostih.
Pomembno je tudi omeniti, da če ta podjetja ali razvijalci niso "varni" s programsko opremo, ki jo uporabljajo, bo marsikdo od nas pomislil na najbolj logično stvar, da "plačajo" ali "podpirajo razvoj, bodisi z dodeljevanjem sredstev oz. razvijalci", toda na tej točki se začne ena od velikih razprav o odprtokodni programski opremi, kje naj bi bila odprtokodna programska oprema "plačana".
Kot taka obstaja veliko primerov odprtokodne programske opreme, ki obravnava dve različici, ki sta plačljivi in brezplačni ter celo samo plačljivi, vendar je izvorna koda na voljo.
Na drugi strani pa so tudi premiki razvijalcev in velikih podjetij, v katerih se odločajo za spremembo distribucijskega modela ali prehod na plačilni model, na primer QT.
Brez več, Za tiste, ki jih zanima več o tem o opombi si lahko ogledate podrobnosti v naslednjo povezavo.