Широко разпространеното използване на софтуер с отворен код (OSS) в рамките на модерното разработване на приложения представлява „значителен риск за сигурността“, показват нови изследвания.
Според нов доклад на компанията за киберсигурност Snyk, заедно с Linux (отваря се в нов раздел) Фондация, днешните организации не са подготвени да се справят с тези рискове.
Въз основа на проучване на повече от 550 респонденти, както и данни, извлечени от 1.3 милиарда проекта с отворен код чрез Snyk Open Source, докладът посочва, че две от всеки пет (41%) фирми не са уверени в сигурността на своя код с отворен код.
Уязвимости в кода с отворен код
Установено е, че средният проект за разработка на приложение има 49 уязвимости, както и 80 директни зависимости. Обикновено сега са необходими 110 дни за отстраняване на уязвимост в проект с отворен код, спрямо 49 дни преди четири години.
„Софтуерните разработчици днес имат свои собствени вериги за доставки – вместо да сглобяват автомобилни части, те сглобяват код, като обединяват съществуващи компоненти с отворен код с техния уникален код. Докато това води до повишена производителност и иновации, то също така създаде значителни опасения за сигурността,” каза Мат Джарвис, директор, Връзки с разработчиците, Snyk.
Джарвис добави, че има известна „наивност“ в подхода на индустрията към софтуера с отворен код, който може да отвори вратата за всякакъв вид зловреден софтуер, ransomware и други атаки.
Например, по-малко от половината (49%) имат политика за сигурност за разработване или използване на OSS, намалявайки до 27% сред средните и големите компании. Освен това, по-малко от една трета (30%) от организациите без политика за сигурност с отворен код са наясно с факта, че в момента никой не се занимава със сигурността на софтуера с отворен код.
Но някои респонденти са наясно с предизвикателствата пред сигурността, които създава софтуерът с отворен код във веригата на доставки. Една четвърт казаха, че са загрижени за въздействието върху сигурността на техните зависимости от OSS и само 18% казаха, че са уверени в контролите, които са създали за своите преходни зависимости, където са открити 40% от всички уязвимости.