Kamakailan, ang paglalathala ng isang bagong ulat mula sa developer ng security firm na si Snyk at ang Linux Foundation, tungkol sa kanilang pinagsamang pananaliksik sa estado ng open source na seguridad ng software.
Sa post mo detalye na ang mga resulta ay hindi nakapagpapatibay para sa mga kumpanya, kaya nga mayroong isang malawak na pagkakaiba-iba ng mga makabuluhang panganib sa seguridad na nagreresulta mula sa malawakang paggamit ng open source software sa loob ng modernong pag-develop ng application, pati na rin kung gaano karaming mga organisasyon ang kasalukuyang hindi handa na pamahalaan ang mga panganib na ito nang epektibo.
Sa partikular, natagpuan ng ulat ang:
Mahigit sa apat sa sampung (41%) na organisasyon ang hindi masyadong kumpiyansa sa seguridad ng kanilang open source software;
Ang karaniwang application development project ay may 49 na mga kahinaan at 80 direktang dependencies (open source code na tinatawag ng isang proyekto); Y,
Ang oras na kinakailangan upang ayusin ang mga kahinaan sa mga open source na proyekto ay patuloy na tumataas, higit sa pagdodoble mula 49 araw sa 2018 hanggang 110 araw sa 2021.
Nabanggit na sa pangkalahatan ay isang proyekto pagbuo ng aplikasyon ay may average na 49 na kahinaan at 80 direktang dependencies. Bukod pa rito, ang oras na kinakailangan upang ayusin ang mga kahinaan sa mga open source na proyekto ay patuloy na tumaas, higit sa pagdoble mula 49 araw noong 2018 hanggang 110 araw noong 2021.
» Ang mga developer ng software ngayon ay may sariling mga supply chain: sa halip na mag-assemble ng mga piyesa ng kotse, mag-assemble sila ng code sa pamamagitan ng pagsali sa mga kasalukuyang bahagi ng open source gamit ang kanilang natatanging code. Kung humahantong ito sa pagtaas ng produktibidad at pagbabago, "paliwanag ni Matt Jarvis, Direktor ng Mga Relasyon ng Developer sa Snyk. Kasama ang Linux Foundation, pinaplano naming buuin ang mga natuklasang ito upang higit pang turuan at bigyan ng kasangkapan ang mga developer sa buong mundo, na nagbibigay-daan sa kanila na patuloy na bumuo ng mabilis, habang nananatiling ligtas."
Sa iba pang mga resulta, 49% lamang ng mga organisasyon ang may patakaran sa seguridad para sa pagbuo o paggamit ng libreng software (at ang figure na ito ay 27% lamang para sa katamtaman at malalaking kumpanya). Habang 30% ng mga organisasyon na walang libreng patakaran sa seguridad ng software ay hayagang kinikilala na walang sinuman sa kanilang koponan ang direktang nakikipag-ugnayan sa libreng seguridad ng software.
Ang pagiging kumplikado ng supply chain ay isa ring isyu, na may higit sa isang-kapat ng mga sumasagot na nagsasaad na sila ay nag-aalala tungkol sa epekto sa seguridad ng kanilang mga direktang dependency. 18% lang ang nagsasabi na tiwala sila sa mga kontrol na kanilang pinangangasiwaan.
Hanggang sa puntong ito, Mahalagang i-highlight ang dalawang sitwasyon, ang una sa kanila ay sa oras na magdagdag ng isang bahagi ang mga developer open source sa iyong mga application, ikaw na agad maging dependent sa component na iyon at nasa panganib kung ang bahaging iyon ay naglalaman ng mga kahinaan.
Ang isa pa at na madalas na nakikita sa mga nakaraang taon ay ang panganib na ito ay pinalala rin ng hindi direkta o palipat na mga dependency, na mga dependency ng "iba pang mga dependencies", dito maraming mga developer ay hindi kahit na alam ang tungkol sa mga dependencies, na ginagawang kahit na mas mahirap subaybayan at protektahan.
Sa pamamagitan nito, medyo mauunawaan namin na ang ulat ay nagpapakita kung gaano katotoo ang panganib na ito, na may dose-dosenang mga kahinaan na natuklasan sa maraming direktang dependency sa bawat application na sinusuri. Sabi nga, sa ilang lawak, alam ng mga respondent ang mga kumplikadong seguridad na nilikha ng open source sa software supply chain ngayon:
Mahigit sa isang-kapat ng mga respondent ang nagsabing nag-aalala sila tungkol sa epekto sa seguridad ng kanilang mga direktang dependency, 18% lang ng mga respondent ang nagsabing pinagkakatiwalaan nila ang mga kontrol na mayroon sila para sa kanilang mga transitive dependencies; at, Apatnapung porsyento ng lahat ng mga kahinaan ay natagpuan sa mga transitive dependencies.
Mahalaga rin na banggitin na kung ang mga kumpanya o developer na ito ay hindi "ligtas" sa software na kanilang ginagamit, marami sa atin ang mag-iisip ng pinaka-lohikal na bagay, upang sila ay "magbayad" o "suporta sa pag-unlad, alinman sa pamamagitan ng paglalaan ng mga mapagkukunan o developer", ngunit dito sa puntong ito ay kung saan ang isa sa mga mahusay na debate ng open source software ay pumapasok, kung saan kung ang open source ay dapat na "bayaran".
Dahil dito, maraming mga halimbawa ng open source software na humahawak ng dalawang bersyon, na binabayaran at libre, at kahit na binayaran lamang, ngunit ang source code ay magagamit.
Sa kabilang banda, mayroon ding mga paggalaw ng mga developer at malalaking kumpanya, kung saan nagpasya silang baguhin ang modelo ng pamamahagi o lumipat sa isang modelo ng pagbabayad, halimbawa QT.
Nang walang higit pa, para sa mga interesadong malaman ang higit pa tungkol dito tungkol sa tala, maaari mong konsultahin ang mga detalye sa ang sumusunod na link.