Kohët e fundit, publikimi i një raport i ri nga firma e sigurisë së zhvilluesve Snyk dhe Fondacioni Linux, në lidhje me hulumtimin e tyre të përbashkët për gjendjen e sigurisë së softuerit me kod të hapur.
Në postimin tuaj detaje se rezultatet nuk janë inkurajuese për kompanitë, pues ka një shumëllojshmëri të gjerë të rreziqeve të rëndësishme të sigurisë që rezulton nga përdorimi i gjerë i softuerit me burim të hapur brenda zhvillimit të aplikacioneve moderne, si dhe nga sa shumë organizata janë aktualisht të papërgatitura për të menaxhuar në mënyrë efektive këto rreziqe.
Konkretisht në raport thuhet:
Më shumë se katër në dhjetë (41%) organizata nuk janë shumë të sigurta në sigurinë e softuerit të tyre me burim të hapur;
Projekti mesatar i zhvillimit të aplikacionit ka 49 dobësi dhe 80 varësi të drejtpërdrejta (kodi me burim të hapur i quajtur nga një projekt); Y,
Koha që duhet për të rregulluar dobësitë në projektet me burim të hapur është rritur vazhdimisht, duke u dyfishuar nga 49 ditë në 2018 në 110 ditë në 2021.
Përmendet se në përgjithësi një projekt zhvillimin e aplikacionit ka mesatarisht 49 dobësi dhe 80 varësi të drejtpërdrejta. Për më tepër, koha e nevojshme për të rregulluar dobësitë në projektet me burim të hapur është rritur në mënyrë të qëndrueshme, duke u dyfishuar nga 49 ditë në 2018 në 110 ditë në 2021.
» Zhvilluesit e sotëm të softuerit kanë zinxhirët e tyre të furnizimit: në vend të montimit të pjesëve të makinave, ata montojnë kodin duke bashkuar komponentët ekzistues me kod të hapur me kodin e tyre unik. Nëse kjo çon në rritjen e produktivitetit dhe inovacionit,” shpjegon Matt Jarvis, Drejtor i Marrëdhënieve me Zhvilluesit në Snyk. Së bashku me Fondacionin Linux, ne planifikojmë të ndërtojmë mbi këto gjetje për të edukuar dhe pajisur më tej zhvilluesit në mbarë botën, duke u mundësuar atyre të vazhdojnë të ndërtojnë shpejt, duke qëndruar të sigurt."
Ndër rezultatet e tjera, vetëm 49% e organizatave kanë një politikë sigurie për zhvillimin ose përdorimin e softuerit të lirë (dhe kjo shifër është vetëm 27% për kompanitë e mesme dhe të mëdha). Ndërsa 30% e organizatave pa një politikë sigurie të softuerit të lirë e pranojnë hapur se askush në ekipin e tyre nuk merret drejtpërdrejt me sigurinë e softuerit të lirë.
Kompleksiteti i zinxhirit të furnizimit është gjithashtu një problem, me më shumë se një e katërta e të anketuarve që tregojnë se janë të shqetësuar për ndikimin e sigurisë të varësive të tyre të drejtpërdrejta. Vetëm 18% thonë se janë të sigurt në kontrollet që përdorin.
Deri në këtë pikë, Është e rëndësishme të theksohen dy situata, e para prej tyre është në atë kohë zhvilluesit shtojnë një komponent burim i hapur në aplikacionet tuaja, ju jeni menjëherë bëhen të varur nga ai komponent dhe janë në rrezik nëse ai komponent përmban dobësi.
Tjetra dhe që është parë shpesh vitet e fundit është se ky rrezik rëndohet edhe nga varësitë indirekte ose kalimtare, që janë varësitë e "varësive të tjera", këtu shumë zhvillues as që dinë për këto varësi, gjë që e bën atë edhe më e vështirë për të gjurmuar dhe mbrojtur.
Me këtë mund të kuptojmë pak se raporti tregon se sa real është ky rrezik, me dhjetëra dobësi të zbuluara në shumë varësi të drejtpërdrejta në çdo aplikacion të vlerësuar. Thënë kështu, në një farë mase, të anketuarit janë të vetëdijshëm për kompleksitetin e sigurisë të krijuar nga burimi i hapur në zinxhirin e furnizimit të softuerit të sotëm:
Më shumë se një e katërta e të anketuarve thanë se janë të shqetësuar për ndikimin e sigurisë së varësive të tyre të drejtpërdrejta; vetëm 18% e të anketuarve thanë se u besojnë kontrolleve që kanë për varësitë e tyre kalimtare; dhe, Dyzet përqind e të gjitha dobësive u gjetën në varësi kalimtare.
Është gjithashtu e rëndësishme të përmendet se nëse këto kompani ose zhvillues nuk janë "të sigurt" me softuerin që përdorin, shumë prej nesh do të mendojnë për gjënë më logjike, në mënyrë që ata "të paguajnë" ose "të mbështesin zhvillimin, qoftë duke ndarë burime ose zhvilluesit", por këtu në këtë pikë vjen një nga debatet e mëdha të softuerit me kod të hapur, ku nëse burimi i hapur duhet të "paguhet".
Si i tillë, ka shumë shembuj të softuerit me burim të hapur që trajton dy versione, të cilat janë me pagesë dhe falas, madje edhe vetëm me pagesë, por kodi burim është i disponueshëm.
Nga ana tjetër, ka pasur edhe lëvizje nga zhvilluesit dhe kompanitë e mëdha, në të cilat ata vendosin të ndryshojnë modelin e shpërndarjes ose të kalojnë në një model pagese, për shembull QT.
Pa më shumë, për ata që janë të interesuar të dinë më shumë rreth tij në lidhje me shënimin, mund të konsultoheni me detajet në lidhja e mëposhtme.