Вразливості безпеки у програмному забезпеченні з відкритим кодом часом не виявляються більше чотирьох років. Це одна з ключових висновків останньої доповіді про стан Октоверсу платформи хостингу та управління розробкою програмного забезпечення GitHub.
Однак це твердження не зовсім вірно, з на основі технологічного прогресу і той факт, що в останні роки багато великих компаній та розробників приєдналися до програмного забезпечення з відкритим кодом, це дозволило дедалі швидше прогресувати в плані розробки, створення інструментів для тестування та особливо виявлення вразливості.
Хоча це все ще реальність полягає в тому, що недостатнє фінансування (що призводить до скорочення людських ресурсів) більшість часу є перешкодою для пошуку та виявлення цих вразливих місць.
Наприклад, серцевий кровотеча - це вразливість програмного забезпечення, що знаходиться в криптобібліотеці OpenSSL з березня 2012 року. Дозволяє зловмиснику читати пам'ять сервера або клієнта для відновлення, використовуваної під час зв'язку з протоколом безпеки транспортного рівня (TLS). Вада, яка впливає на багато Інтернет-служб, була виявлена лише в березні 2014 року і була оприлюднена в квітні 2014 року. Хакери залишили дворічне вікно для атаки тисяч серверів.
Імовірно, вразливість потрапила до сховища OpenSSL помилково за пропозицією розробника-волонтера виправити помилки та вдосконалити функції.
Дефекти цього типу (введено помилково) представляють 83% виявлених у проектах з відкритим кодом, розміщеним на GitHub. Однак остання доповідь про стан Октоверсу зазначає, що 17% - це уразливості, навмисно запроваджені зловмисними третіми сторонами.
Це цифри, які слід доповнити недавньою доповіддю Risksense, в якій наголошується, що недоліки програмного забезпечення з відкритим кодом постійно зростають. ІТ-проекти все частіше базуються на відкритих кодах, що пояснює зростаючий інтерес хакерів до цієї галузі.
Уразливість може спричинити хаос у вашій роботі та спричинити масштабні проблеми безпеки. Однак більшість вразливостей пов’язані з помилками, а не зловмисними атаками.
Покладаючись на відкритий код, коли ви можете, ваша команда отримує вигоду від усіх виправлень, знайдених та виправлених спільнотою. Час на відновлення є важливою складовою для всіх команд DevOps
Модель фінансування із сфери відкритого коду є одним із факторів, що найбільш імовірно пояснюють, чому вразливості програмного забезпечення Вони залишаються непоміченими в такі важливі моменти. Ініціатива центральної інфраструктури (ІСІ) є одним з небагатьох проектів з фінансування та підтримки проектів програмного забезпечення з вільним відкритим кодом, які мають важливе значення для функціонування Інтернету та інших великих інформаційних систем.
Більшість проектів на GitHub засновані на програмному забезпеченні з відкритим кодом. Цей аналіз включав відкриті сховища із відкритим кодом із принаймні одним внеском кожного місяця між 10.1.2019 та 30.09.2020.
Останнє було предметом оголошення після критичної вразливості Heartbleed у OpenSSL, що використовується мільйонами веб-сайтів. Проблема: ІСІ покладається на внески добре відомих гравців у світі власного програмного забезпечення. Facebook, VMWare, Microsoft, Comcast та Oracle (якщо назвати лише ці компанії) фінансують Linux Foundation, а отже, такі проекти, як Центральна інфраструктурна ініціатива (ІСІ).
Це дає їм місця в різних комісіях, що приймають рішення, і, отже, певний контроль над тим, що відбувається на арені з відкритим кодом. Браян Ландук, колишній член правління openSUSE, детальніше обговорює такий стан справ.
Безпосереднім наслідком є те проекти з відкритим кодом, які отримують вигоду від фінансування це ті, на яких в основному базується їх інфраструктура.
Нарешті, якщо вам цікаво дізнатись більше про це, Ви можете переглянути веб-сайт, на якому ви зможете знайти зібрані звіти.