Avoimen lähdekoodin ohjelmistojen (OSS) laaja käyttö nykyaikaisessa sovelluskehityksessä muodostaa "merkittävän tietoturvariskin", uusi tutkimus viittaa.
Kyberturvallisuusyhtiö Snykin uuden raportin mukaan yhdessä Linuxin kanssa (avautuu uuteen välilehteen) Säätiön mukaan nykypäivän organisaatiot eivät ole valmistautuneet käsittelemään näitä riskejä.
Yli 550 vastaajalle tehtyyn kyselyyn sekä 1.3 miljardista avoimen lähdekoodin projektista Snyk Open Sourcen kautta kerättyihin tietoihin perustuva raportti kertoo, että kaksi viidestä (41 %) yrityksistä ei luota avoimen lähdekoodinsa turvallisuuteen.
Avoimen lähdekoodin haavoittuvuuksia
Keskimääräisessä sovelluskehitysprojektissa havaittiin olevan 49 haavoittuvuutta sekä 80 suoraa riippuvuutta. Yleensä avoimen lähdekoodin projektin haavoittuvuuden korjaaminen kestää nyt 110 päivää, kun neljä vuotta sitten se oli 49 päivää.
”Ohjelmistokehittäjillä on nykyään omat toimitusketjunsa – autonosien kokoamisen sijaan he kokoavat koodia korjaamalla olemassa olevia avoimen lähdekoodin komponentteja ainutlaatuisella koodillaan. Vaikka tämä lisää tuottavuutta ja innovaatioita, se on myös aiheuttanut merkittäviä turvallisuusongelmia", sanoi Matt Jarvis, Snykin kehittäjäsuhteiden johtaja.
Jarvis lisäsi, että alan suhtautumisessa avoimen lähdekoodin ohjelmistoihin on "naiivia", mikä voi avata oven kaikenlaisille haittaohjelmille, kiristysohjelmille ja muille hyökkäyksille.
Esimerkiksi alle puolella (49 %) on tietoturvapolitiikka OSS:n kehittämistä tai käyttöä varten, ja se on pudonnut 27 prosenttiin keskisuurten ja suurten yritysten keskuudessa. Lisäksi alle kolmannes (30 %) organisaatioista, joilla ei ole avoimen lähdekoodin tietoturvapolitiikkaa, on tietoinen siitä, että tällä hetkellä kukaan ei ota kantaa avoimen lähdekoodin ohjelmistojen tietoturvaan.
Jotkut vastaajat ovat kuitenkin tietoisia avoimen lähdekoodin ohjelmistojen toimitusketjussa aiheuttamista turvallisuushaasteista. Neljännes sanoi olevansa huolissaan OSS-riippuvuutensa tietoturvavaikutuksista, ja vain 18 % sanoi olevansa luottavaisia ohjaimia, jotka he ovat asetetut siirtymäkohtaisille riippuvuuksilleen, joissa 40 % kaikista haavoittuvuuksista löydettiin.