Široka upotreba softvera otvorenog koda (OSS) u modernom razvoju aplikacija predstavlja "značajan sigurnosni rizik", sugeriraju novo istraživanje.
Prema novom izvješću tvrtke Snyk za kibernetičku sigurnost, zajedno s Linuxom (otvara se u novoj kartici) Zaklada, današnje organizacije nisu dovoljno spremne da se nose s tim rizicima.
Na temelju ankete više od 550 ispitanika, kao i podataka prikupljenih iz 1.3 milijarde open source projekata putem Snyk Open Source-a, izvješće navodi da dvije od pet (41%) tvrtki nisu uvjerene u sigurnost svog otvorenog koda.
Ranjivosti u otvorenom izvornom kodu
Utvrđeno je da prosječni projekt razvoja aplikacija ima 49 ranjivosti, kao i 80 izravnih ovisnosti. Obično je sada potrebno 110 dana da se otkloni ranjivost u projektu otvorenog koda, u odnosu na 49 dana prije četiri godine.
“Razvijači softvera danas imaju svoje vlastite opskrbne lance – umjesto da sastavljaju dijelove automobila, oni sastavljaju kod spajajući postojeće komponente otvorenog koda svojim jedinstvenim kodom. Iako to dovodi do povećane produktivnosti i inovacija, također je stvorilo značajne sigurnosne probleme”, rekao je Matt Jarvis, direktor za odnose s razvojnim programerima, Snyk.
Jarvis je dodao da postoji određena "naivnost" u industrijskom pristupu softveru otvorenog koda, što bi moglo otvoriti vrata svim vrstama zlonamjernog softvera, ransomwarea i drugih napada.
Na primjer, manje od polovice (49%) ima sigurnosnu politiku za razvoj ili korištenje OSS-a, što je palo na 27% među srednjim i velikim tvrtkama. Nadalje, manje od trećine (30%) organizacija bez sigurnosne politike otvorenog koda svjesno je činjenice da se u ovom trenutku nitko ne bavi sigurnošću softvera otvorenog koda.
No, neki ispitanici svjesni su sigurnosnih izazova koje postavlja softver otvorenog koda u lancu opskrbe. Četvrtina je izjavila da je zabrinuta zbog utjecaja na sigurnost svojih ovisnosti o OSS-u, a samo 18% je reklo da je uvjereno u kontrole koje su postavili za svoje tranzitivne ovisnosti, gdje je pronađeno 40% svih ranjivosti.