يشير بحث جديد إلى أن الاستخدام الواسع لبرمجيات المصدر المفتوح (OSS) في تطوير التطبيقات الحديثة يشكل "خطرًا أمنيًا كبيرًا".
وفقًا لتقرير جديد صادر عن شركة الأمن السيبراني Snyk ، جنبًا إلى جنب مع Linux (يفتح في علامة تبويب جديدة) المؤسسة ، منظمات اليوم غير مستعدة للتعامل مع هذه المخاطر.
استنادًا إلى دراسة استقصائية شملت أكثر من 550 مشاركًا ، بالإضافة إلى البيانات المأخوذة من 1.3 مليار مشروع مفتوح المصدر عبر Snyk Open Source ، يذكر التقرير أن اثنتين من كل خمس شركات (41٪) غير واثقة من أمان كود المصدر المفتوح الخاص بها.
نقاط الضعف في التعليمات البرمجية مفتوحة المصدر
وُجد أن متوسط مشروع تطوير التطبيقات يحتوي على 49 نقطة ضعف ، بالإضافة إلى 80 تبعيات مباشرة. عادة ، يستغرق الأمر الآن 110 يومًا لمعالجة ثغرة أمنية في مشروع مفتوح المصدر ، ارتفاعًا من 49 يومًا قبل أربع سنوات.
"يمتلك مطورو البرمجيات اليوم سلاسل التوريد الخاصة بهم - فبدلاً من تجميع أجزاء السيارة ، يقومون بتجميع التعليمات البرمجية عن طريق ترقيع المكونات مفتوحة المصدر الحالية مع التعليمات البرمجية الفريدة الخاصة بهم. في حين أن هذا يؤدي إلى زيادة الإنتاجية والابتكار ، فقد أدى أيضًا إلى خلق مخاوف أمنية كبيرة ، "قال مات جارفيس ، مدير علاقات المطورين ، Snyk.
وأضاف جارفيس أن هناك نوعًا من "السذاجة" في أسلوب الصناعة في التعامل مع البرامج مفتوحة المصدر ، والتي يمكن أن تفتح الباب أمام جميع أنواع البرمجيات الخبيثة وبرامج الفدية والهجمات الأخرى.
على سبيل المثال ، لدى أقل من النصف (49٪) سياسة أمنية لتطوير أو استخدام برمجيات المصدر المفتوح ، وتنخفض إلى 27٪ بين الشركات المتوسطة والكبيرة الحجم. علاوة على ذلك ، فإن أقل من ثلث (30٪) المؤسسات التي ليس لديها سياسة أمان مفتوحة المصدر تدرك حقيقة أنه في الوقت الحالي ، لا أحد يتعامل مع أمن البرامج مفتوحة المصدر.
لكن بعض المستجيبين يدركون التحديات الأمنية التي تفرضها البرامج مفتوحة المصدر في سلسلة التوريد. قال ربعهم إنهم قلقون بشأن التأثير الأمني لاعتمادهم على برمجيات المصدر المفتوح ، وقال 18٪ فقط إنهم واثقون من الضوابط التي أقاموها من أجل التبعيات المتعدية ، حيث تم العثور على 40٪ من جميع نقاط الضعف.