Безбедносне рањивости у софтверу отвореног кода понекад остану неоткривене више од четири године. Ово је један од кључних налаза најновијег извештаја о стању Октоверса ГитХуб платформе за хостинг и управљање развојем софтвера.
Међутим ова изјава није у потпуности тачна, синце заснован на технолошком напретку и чињеница да су се последњих година многе велике компаније и програмери придружили софтверу отвореног кода, то је омогућило све бржи напредак у погледу развоја, стварања алата за тестирање и посебно откривања рањивости.
Иако је то још увек реалност, недовољно финансирање (што доводи до смањења људских ресурса) је најчешће препрека за претрагу и откривање ових рањивости.
На пример, крварење је рањивост софтвера присутног у крипто библиотеци ОпенССЛ од марта 2012. Омогућава нападачу да прочита меморију сервера или клијента за опоравак коришћен током комуникације са протоколом за безбедност транспортног слоја (ТЛС). Грешка која утиче на многе Интернет услуге откривена је тек у марту 2014. године, а објављена је у априлу 2014. То је оставило двогодишњи прозор да хакери нападну хиљаде сервера.
Рањивост је наводно грешком завршила у спремишту ОпенССЛ-а следећи предлог програмера волонтера да исправи грешке и побољша функције.
Дефекти овог типа (унето грешком) представљају 83% оних откривених у пројектима отворени извор хостован на ГитХуб-у. Међутим, најновији извештај о стању Октоверса наводи да је 17% рањивости које су намерно увеле злонамерне треће стране.
То су цифре које би требало допунити недавним извештајем Рисксенсе који наглашава да недостаци у софтверу отвореног кода непрестано расту. ИТ пројекти се све више заснивају на отвореном коду, што објашњава све веће интересовање хакера на терену.
Рањивост може да створи пустош на вашем послу и да изазове велике безбедносне проблеме. Међутим, већина рањивости настаје због грешака, а не злонамерних напада.
Ослањајући се на отворени извор кад год можете, ваш тим користи све поправке које је заједница пронашла и санирала. Време за санирање је важна компонента за све ДевОпс тимове
Модел финансирања из сфере отвореног кода је међу факторима који ће највероватније објаснити зашто софтверске рањивости У таквим важним тренуцима остају непримећени. Иницијатива за централну инфраструктуру (ЦИИ) један је од ретких пројеката за финансирање и подршку бесплатних и отворених софтверских пројеката који су од суштинског значаја за функционисање Интернета и других великих информационих система.
Већина пројеката на ГитХуб-у засновани су на софтверу отвореног кода. Ова анализа је обухватила јавне репозиторијуме отвореног кода са најмање једним доприносом сваког месеца између 10.1.2019 и 30.09.2020.
Ово последње је предмет најаве након критичне Хеартблеед рањивости у ОпенССЛ-у коју користе милиони веб локација. Проблем: ЦИИ се ослања на доприносе добро успостављених играча у свету власничког софтвера. Фацебоок, ВМВаре, Мицрософт, Цомцаст и Орацле (да набројимо само ове компаније) финансирају Линук Фоундатион, а самим тим и пројекте попут Централне инфраструктурне иницијативе (ЦИИ).
То им даје места у разним одборима за доношење одлука, а самим тим и одређену контролу над оним што се дешава у арени отвореног кода. Бриан Лундуке, бивши члан одбора опенСУСЕ, детаљније говори о овом стању ствари.
Непосредна последица је та пројекти отвореног кода који имају користи од финансирања су они на којима се углавном заснива њихова инфраструктура.
Коначно, ако сте заинтересовани да сазнате више о томе, можете погледати следећу веб страницу на којој можете пронаћи прикупљене извештаје.