Недавно је објављивање нови извештај од развојне безбедносне фирме Сник и Линук фондације, о њиховом заједничком истраживању стања безбедности софтвера отвореног кода.
У свом посту детаљније да резултати нису охрабрујући за компаније, добро постоји велики број значајних безбедносних ризика као резултат широке употребе софтвера отвореног кода у оквиру савременог развоја апликација, као и колико организација тренутно није припремљено да ефикасно управљају овим ризицима.
Конкретно, извештај је утврдио:
Више од четири од десет (41%) организација није много уверено у безбедност свог софтвера отвореног кода;
Просечан пројекат развоја апликације има 49 рањивости и 80 директних зависности (отворени код који позива пројекат); И,
Време које је потребно за отклањање рањивости у пројектима отвореног кода се стално повећава, више него удвостручивши се са 49 дана у 2018. на 110 дана у 2021.
Помиње се да генерално пројекат развој апликација има у просеку 49 рањивости и 80 директних зависности. Поред тога, време потребно за отклањање рањивости у пројектима отвореног кода се стално повећава, више него удвостручивши се са 49 дана у 2018. на 110 дана у 2021.
» Данашњи програмери софтвера имају сопствене ланце снабдевања: уместо да склапају делове аутомобила, они склапају код спајањем постојећих компоненти отвореног кода са својим јединственим кодом. Ако ово доведе до повећане продуктивности и иновација“, објашњава Матт Јарвис, директор за односе са програмерима у Сник-у. Заједно са Линук фондацијом, планирамо да градимо на овим налазима како бисмо додатно образовали и опремили програмере широм света, омогућавајући им да наставе да граде брзо, а да притом остану безбедни."
Између осталих резултата, само 49% организација има безбедносну политику за развој или коришћење слободног софтвера (а ова цифра је само 27% за средња и велика предузећа). Док 30% организација без безбедносне политике слободног софтвера отворено признаје да се нико у њиховом тиму не бави директно безбедношћу слободног софтвера.
Сложеност ланца снабдевања је такође проблем, при чему је више од четвртине испитаника навело да је забринуто због утицаја на безбедност својих директних зависности. Само 18% каже да је уверено у контроле које користе.
Досад, Важно је истаћи две ситуације, први од њих је у време када програмери додају компоненту отвореног кода у вашим апликацијама, одмах сте постају зависни од те компоненте и изложени су ризику ако та компонента садржи рањивости.
Друга и која се често виђа последњих година је да овај ризик такође погоршавају индиректне или транзитивне зависности, које су зависности „других зависности“, овде многи програмери и не знају за ове зависности, што га чини изједначеним. теже пратити и заштитити.
Уз ово, можемо донекле разумети да извештај показује колико је овај ризик стваран, са десетинама рањивости откривених у многим директним зависностима у свакој процењеној апликацији. Међутим, у одређеној мери, испитаници су свесни безбедносних сложености које ствара отворени код у данашњем ланцу набавке софтвера:
Више од четвртине испитаника рекло је да је забринуто због утицаја на безбедност својих директних зависности; само 18% испитаника је рекло да верује у контролу коју имају за своје транзитивне зависности; и, четрдесет процената свих рањивости је пронађено у транзитивним зависностима.
Такође је важно напоменути да ако ове компаније или програмери нису „безбедни” са софтвером који користе, многи од нас ће смислити оно најлогичније, па да „плате” или „подрже развој, било издвајањем ресурса или програмери“, али овде у овој тачки долази до једне од великих дебата о софтверу отвореног кода, где ако би отворени код требало да буде „плаћен“.
Као такав, постоји много примера софтвера отвореног кода који обрађује две верзије, које су плаћене и бесплатне, па чак и само плаћене, али изворни код је доступан.
С друге стране, било је и померања програмера и великих компанија, у којима се одлучују да промене модел дистрибуције или пређу на модел плаћања, на пример КТ.
Без више, за оне који желе да сазнају више о томе о белешци, детаље можете погледати у следећи линк.