Son zamanlarda, yayın geliştirici güvenlik firması Snyk ve Linux Vakfı'ndan yeni bir rapor, açık kaynaklı yazılım güvenliğinin durumuna ilişkin ortak araştırmaları hakkında.
Gönderinizde sonuçların şirketler için cesaret verici olmadığı detayı, için çok çeşitli önemli güvenlik riskleri vardır Modern uygulama geliştirmede açık kaynaklı yazılımın yaygın kullanımından ve aynı zamanda kaç kuruluşun şu anda bu riskleri etkin bir şekilde yönetmek için hazırlıksız olmasından kaynaklanmaktadır.
Raporda özellikle şunlar bulundu:
On kuruluştan dördünden fazlası (%41) açık kaynaklı yazılımlarının güvenliğinden pek emin değil;
Ortalama bir uygulama geliştirme projesinin 49 güvenlik açığı ve 80 doğrudan bağımlılığı vardır (bir proje tarafından çağrılan açık kaynak kodu); Y,
Açık kaynak projelerindeki güvenlik açıklarını düzeltmek için geçen süre, 49'de 2018 günden 110'de 2021 güne çıkarak iki katından fazla artarak istikrarlı bir şekilde artıyor.
Bundan bahsediliyor genellikle bir proje uygulama geliştirme ortalama 49 güvenlik açığı ve 80 doğrudan bağımlılığa sahiptir. Ek olarak, açık kaynak projelerindeki güvenlik açıklarını düzeltmek için gereken süre istikrarlı bir şekilde artarak 49'de 2018 günden 110'de 2021 güne iki kattan fazla arttı.
» Günümüzün yazılım geliştiricilerinin kendi tedarik zincirleri var: araba parçalarını bir araya getirmek yerine, mevcut açık kaynak bileşenlerini benzersiz kodlarıyla birleştirerek kod oluşturuyorlar. Bu, üretkenliğin ve yenilikçiliğin artmasına yol açarsa," diye açıklıyor Snyk'te Geliştirici İlişkileri Direktörü Matt Jarvis. Linux Vakfı ile birlikte, dünyanın dört bir yanındaki geliştiricileri daha fazla eğitmek ve donatmak için bu bulguların üzerine inşa etmeyi planlıyoruz, bu da onların güvende kalırken hızlı bir şekilde inşa etmeye devam etmelerini sağlıyor."
Diğer sonuçların yanı sıra, kuruluşların yalnızca %49'unun bir güvenlik politikası vardır özgür yazılımın geliştirilmesi veya kullanılması için (ve bu rakam orta ve büyük şirketler için sadece %27'dir). Özgür yazılım güvenlik politikası olmayan kuruluşların %30'u, ekiplerinde hiç kimsenin doğrudan özgür yazılım güvenliği ile ilgilenmediğini açıkça kabul etmektedir.
Tedarik zinciri karmaşıklığı da bir sorundurAnkete katılanların dörtte birinden fazlası, doğrudan bağımlılıklarının güvenlik etkisinden endişe duyduklarını belirtti. Sadece %18'i ele aldıkları kontrollere güvendiklerini söylüyor.
Bu noktaya kadar, İki durumu vurgulamak önemlidir, ilk onlardan geliştiriciler bir bileşen eklediğinde uygulamalarınızda açık kaynak, hemen o bileşene bağımlı hale gelmek ve bu bileşen güvenlik açıkları içeriyorsa risk altındadır.
Diğeri ve son yıllarda sıkça görülen, bu riskin "diğer bağımlılıkların" bağımlılıkları olan dolaylı veya geçişli bağımlılıklar tarafından da ağırlaşmasıdır, burada birçok geliştirici bu bağımlılıkları bile bilmiyor, bu da onu daha da zorlaştırıyor. izlemek ve korumak daha zordur.
Bununla, değerlendirilen her uygulamada birçok doğrudan bağımlılıkta keşfedilen düzinelerce güvenlik açığı ile raporun bu riskin ne kadar gerçek olduğunu gösterdiğini biraz anlayabiliyoruz. Bununla birlikte, katılımcılar bir dereceye kadar günümüzün yazılım tedarik zincirinde açık kaynak tarafından oluşturulan güvenlik karmaşıklıklarının farkındadır:
Ankete katılanların dörtte birinden fazlası, doğrudan bağımlılıklarının güvenlik etkisinden endişe duyduklarını, yalnızca %18'i geçişli bağımlılıkları için sahip oldukları kontrollere güvendiklerini; ve, Tüm güvenlik açıklarının yüzde kırkı geçişli bağımlılıklarda bulundu.
Şunu da belirtmekte fayda var ki, bu şirketler veya geliştiriciler kullandıkları yazılımla "güvenli" değillerse, çoğumuzun en mantıklı şeyi düşüneceğini, böylece ya kaynak ayırarak ya da kaynak ayırarak "ödemelerini" veya "geliştirmeyi desteklemelerini" sağlayacağını belirtmekte fayda var. geliştiriciler", ancak bu noktada, açık kaynak yazılımının büyük tartışmalarından birinin devreye girdiği yer, açık kaynağın “ödenmesi” gerektiğidir.
Bu nedenle, ücretli ve ücretsiz ve hatta yalnızca ücretli olmak üzere iki sürümü işleyen birçok açık kaynaklı yazılım örneği vardır, ancak kaynak kodu mevcuttur.
Öte yandan, geliştiriciler ve büyük şirketler tarafından dağıtım modelini değiştirmeye veya örneğin QT gibi bir ödeme modeline geçmeye karar verdikleri hareketler de oldu.
Daha fazlası olmadan, hakkında daha fazla bilgi edinmek isteyenler için not hakkında, ayrıntılara başvurabilirsiniz aşağıdaki bağlantı.