אבטחת קוד פתוח הופכת במהירות לדאגה גדולה

השימוש הנרחב בתוכנת קוד פתוח (OSS) בפיתוח יישומים מודרני מהווה "סיכון אבטחה משמעותי", עולה ממחקר חדש.

על פי דיווח חדש של חברת אבטחת הסייבר Snyk, יחד עם לינוקס (נפתח בלשונית חדשה) קרן, הארגונים של היום אינם מוכנים להתמודד עם סיכונים אלה.

בהתבסס על סקר של יותר מ-550 נשאלים, כמו גם נתונים שנשלפו מ-1.3 מיליארד פרויקטים בקוד פתוח באמצעות Snyk Open Source, הדו"ח קובע כי שתיים מכל חמש (41%) חברות אינן בטוחות באבטחת הקוד הפתוח שלהן.

פגיעויות בקוד קוד פתוח

לפרויקט הפיתוח הממוצע של אפליקציות, כך נמצא, יש 49 פגיעויות, כמו גם 80 תלות ישירות. בדרך כלל, לוקח כעת 110 ימים לתקן פגיעות בפרויקט קוד פתוח, לעומת 49 ימים לפני ארבע שנים.

"למפתחי תוכנה יש היום שרשרת אספקה משלהם - במקום להרכיב חלקי רכב, הם מרכיבים קוד על ידי תיקון רכיבי קוד פתוח קיימים עם הקוד הייחודי שלהם. למרות שזה מוביל להגברת הפרודוקטיביות והחדשנות, זה גם יצר דאגות אבטחה משמעותיות", אמר מאט ג'רוויס, מנהל קשרי מפתחים, Snyk.

ג'רוויס הוסיף כי ישנה "נאיביות" מסוימת לגישת התעשייה לתוכנות קוד פתוח, שעלולה לפתוח את הדלת לכל מיני תוכנות זדוניות, תוכנות כופר והתקפות אחרות.

לדוגמה, לפחות ממחצית (49%) יש מדיניות אבטחה לפיתוח או שימוש ב-OSS, ירידה של 27% בקרב חברות בגודל בינוני וגדול. יתרה מכך, פחות משליש (30%) מהארגונים ללא מדיניות אבטחה בקוד פתוח מודעים לעובדה שכרגע, אף אחד לא מתייחס לאבטחת תוכנות קוד פתוח.

אבל חלק מהמשיבים מודעים לאתגרי האבטחה שמציבה תוכנת קוד פתוח בשרשרת האספקה. רבע אמרו שהם מודאגים מהשפעת האבטחה של התלות שלהם על OSS, ורק 18% אמרו שהם בטוחים בבקרות שהם הקימו עבור התלות הטרנזיטיבית שלהם, שם נמצאו 40% מכל הפגיעויות.

מָקוֹר