Rozšířené používání softwaru s otevřeným zdrojovým kódem (OSS) v rámci vývoje moderních aplikací představuje „významné bezpečnostní riziko“, naznačuje nový výzkum.
Podle nové zprávy kybernetické společnosti Snyk spolu s Linuxem (otevře se na nové kartě) Nadace, dnešní organizace nejsou na tato rizika připraveny.
Na základě průzkumu více než 550 respondentů a dat získaných z 1.3 miliardy open source projektů prostřednictvím Snyk Open Source zpráva uvádí, že dvě z pěti (41 %) firem si nejsou jisti bezpečností svého open source kódu.
Chyby v otevřeném zdrojovém kódu
Bylo zjištěno, že průměrný projekt vývoje aplikací má 49 zranitelností a 80 přímých závislostí. Oprava zranitelnosti v projektu s otevřeným zdrojovým kódem nyní obvykle trvá 110 dní, před čtyřmi lety to bylo 49 dní.
„Vývojáři softwaru dnes mají své vlastní dodavatelské řetězce – namísto sestavování automobilových dílů sestavují kód záplatováním existujících open source komponent svým jedinečným kódem. I když to vede ke zvýšení produktivity a inovací, vyvolalo to také značné obavy o bezpečnost,“ řekl Matt Jarvis, ředitel pro vztahy s vývojáři ve společnosti Snyk.
Jarvis dodal, že existuje určitá „naivita“ v přístupu tohoto odvětví k softwaru s otevřeným zdrojovým kódem, který by mohl otevřít dveře všem druhům malwaru, ransomwaru a dalším útokům.
Například méně než polovina (49 %) má bezpečnostní politiku pro vývoj nebo používání OSS, což kleslo na 27 % mezi středními a velkými společnostmi. Méně než třetina (30 %) organizací bez open-source bezpečnostní politiky si je navíc vědoma skutečnosti, že v tuto chvíli nikdo neřeší bezpečnost open source softwaru.
Někteří respondenti si však uvědomují bezpečnostní výzvy, které představuje software s otevřeným zdrojovým kódem v dodavatelském řetězci. Čtvrtina uvedla, že mají obavy z bezpečnostního dopadu jejich závislostí na OSS, a pouze 18 % uvedlo, že si věří v ovládací prvky, které nastavili pro své přechodné závislosti, kde bylo nalezeno 40 % všech zranitelností.