Snyk và Quỹ Linux tiết lộ rằng các công ty không mấy tin tưởng vào bảo mật mã nguồn mở 

Gần đây, việc xuất bản một báo cáo mới từ công ty bảo mật nhà phát triển Snyk và Quỹ Linux, về nghiên cứu chung của họ về tình trạng bảo mật phần mềm nguồn mở.

Trong bài viết của bạn nêu chi tiết rằng kết quả không đáng khích lệ cho các công ty, vậy có rất nhiều rủi ro bảo mật đáng kể do việc sử dụng rộng rãi phần mềm nguồn mở trong quá trình phát triển ứng dụng hiện đại, cũng như có bao nhiêu tổ chức hiện chưa chuẩn bị tốt để quản lý những rủi ro này một cách hiệu quả.

Cụ thể, báo cáo cho thấy:

Hơn bốn trong mười (41%) tổ chức không tin tưởng lắm vào tính bảo mật của phần mềm nguồn mở của họ;
Dự án phát triển ứng dụng trung bình có 49 lỗ hổng và 80 lỗ hổng phụ thuộc trực tiếp (mã nguồn mở được gọi theo dự án); Y,
Thời gian cần thiết để sửa chữa các lỗ hổng bảo mật trong các dự án nguồn mở đang tăng đều đặn, tăng hơn gấp đôi từ 49 ngày vào năm 2018 lên 110 ngày vào năm 2021.

Nó được đề cập rằng nói chung là một dự án phát triển ứng dụng có trung bình 49 lỗ hổng và 80 lỗ hổng phụ thuộc trực tiếp. Ngoài ra, thời gian cần thiết để sửa chữa các lỗ hổng bảo mật trong các dự án nguồn mở đã tăng đều đặn, tăng hơn gấp đôi từ 49 ngày vào năm 2018 lên 110 ngày vào năm 2021.

»Các nhà phát triển phần mềm ngày nay có chuỗi cung ứng của riêng họ: thay vì lắp ráp các bộ phận xe hơi, họ lắp ráp mã bằng cách kết hợp các thành phần nguồn mở hiện có với mã duy nhất của họ. Nếu điều này dẫn đến tăng năng suất và đổi mới, ”Matt Jarvis, Giám đốc Quan hệ Nhà phát triển tại Snyk giải thích. Cùng với Linux Foundation, chúng tôi có kế hoạch xây dựng dựa trên những phát hiện này để giáo dục và trang bị thêm cho các nhà phát triển trên toàn thế giới, giúp họ tiếp tục xây dựng nhanh chóng mà vẫn an toàn. "

Trong số các kết quả khác, chỉ 49% tổ chức có chính sách bảo mật cho việc phát triển hoặc sử dụng phần mềm miễn phí (và con số này chỉ là 27% đối với các công ty vừa và lớn). Trong khi 30% các tổ chức không có chính sách bảo mật phần mềm miễn phí công khai thừa nhận rằng không ai trong nhóm của họ giải quyết trực tiếp vấn đề bảo mật phần mềm miễn phí.

Sự phức tạp của chuỗi cung ứng cũng là một vấn đề, với hơn một phần tư số người được hỏi cho biết họ lo ngại về tác động bảo mật của các yếu tố phụ thuộc trực tiếp của họ. Chỉ 18% nói rằng họ tự tin vào các biện pháp kiểm soát mà họ xử lý.

Cho đến nay, Điều quan trọng là làm nổi bật hai tình huống, người đầu tiên trong số họ là tại thời điểm các nhà phát triển thêm một thành phần nguồn mở trong các ứng dụng của bạn, bạn sẽ ngay lập tức trở nên phụ thuộc vào thành phần đó và gặp rủi ro nếu thành phần đó chứa các lỗ hổng.

Điều khác và điều đó đã được nhìn thấy thường xuyên trong những năm gần đây là rủi ro này cũng trở nên trầm trọng hơn bởi các phụ thuộc gián tiếp hoặc bắc cầu, đó là các phụ thuộc của "các phụ thuộc khác", ở đây nhiều nhà phát triển thậm chí không biết về những phụ thuộc này, điều này làm cho nó thậm chí khó theo dõi và bảo vệ hơn.

Với điều này, chúng ta có thể hiểu một chút rằng báo cáo cho thấy mức độ thực sự của rủi ro này, với hàng tá lỗ hổng được phát hiện trong nhiều phần phụ thuộc trực tiếp trong mỗi ứng dụng được đánh giá. Điều đó nói lên rằng, ở một mức độ nào đó, những người được hỏi nhận thức được sự phức tạp về bảo mật được tạo ra bởi mã nguồn mở trong chuỗi cung ứng phần mềm ngày nay:

Hơn một phần tư số người được hỏi cho biết họ lo ngại về tác động bảo mật của các phụ thuộc trực tiếp của họ; chỉ 18% số người được hỏi cho biết họ tin tưởng vào các biện pháp kiểm soát mà họ có đối với các phụ thuộc bắc cầu của họ; và, XNUMX% tất cả các lỗ hổng được tìm thấy trong các phụ thuộc bắc cầu.

Cũng cần đề cập đến rằng nếu các công ty hoặc nhà phát triển này không "an toàn" với phần mềm mà họ sử dụng, nhiều người trong chúng ta sẽ nghĩ đến điều hợp lý nhất, để họ "trả tiền" hoặc "hỗ trợ phát triển, bằng cách phân bổ tài nguyên hoặc nhà phát triển ", nhưng đây là nơi mà một trong những cuộc tranh luận lớn về phần mềm nguồn mở xuất hiện, nơi mà nguồn mở có nên được" trả tiền "hay không.

Như vậy, có rất nhiều ví dụ về phần mềm mã nguồn mở xử lý hai phiên bản là trả phí và miễn phí, thậm chí chỉ trả phí nhưng có sẵn mã nguồn.

Mặt khác, cũng đã có những phong trào của các nhà phát triển và các công ty lớn, trong đó họ quyết định thay đổi mô hình phân phối hoặc chuyển sang mô hình thanh toán, ví dụ QT.

Không cần thêm nữa, cho những người quan tâm muốn biết thêm về nó về lưu ý, bạn có thể tham khảo chi tiết tại liên kết sau.


Hãy là người đầu tiên nhận xét

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.