Новое исследование предполагает, что широкое использование программного обеспечения с открытым исходным кодом (OSS) при разработке современных приложений представляет «значительную угрозу безопасности».
Согласно новому отчету компании по кибербезопасности Snyk, вместе с Linux (открывается в новой вкладке) Foundation, сегодняшние организации недостаточно подготовлены к устранению этих рисков.
На основе опроса более 550 респондентов, а также данных, полученных из 1.3 миллиарда проектов с открытым исходным кодом через Snyk Open Source, в отчете говорится, что две из пяти (41%) компаний не уверены в безопасности своего открытого исходного кода.
Уязвимости в открытом коде
Выяснилось, что средний проект разработки приложений имеет 49 уязвимостей, а также 80 прямых зависимостей. Обычно сейчас на устранение уязвимости в проекте с открытым исходным кодом уходит 110 дней, по сравнению с 49 днями четыре года назад.
«Сегодня разработчики программного обеспечения имеют свои собственные цепочки поставок — вместо того, чтобы собирать автомобильные детали, они собирают код, объединяя существующие компоненты с открытым исходным кодом со своим уникальным кодом. Хотя это приводит к повышению производительности и инновациям, это также создает серьезные проблемы с безопасностью», — сказал Мэтт Джарвис, директор по связям с разработчиками, Snyk.
Джарвис добавил, что в подходе отрасли к программному обеспечению с открытым исходным кодом есть определенная «наивность», которая может открыть дверь для всевозможных вредоносных программ, программ-вымогателей и других атак.
Например, менее половины (49%) имеют политику безопасности для разработки или использования OSS, а среди средних и крупных компаний этот показатель снижается до 27%. Кроме того, менее трети (30%) организаций, не имеющих политики безопасности с открытым исходным кодом, осознают тот факт, что на данный момент никто не занимается вопросами безопасности программного обеспечения с открытым исходным кодом.
Но некоторые респонденты знают о проблемах безопасности, связанных с программным обеспечением с открытым исходным кодом в цепочке поставок. Четверть заявили, что их беспокоит влияние на безопасность их зависимостей от OSS, и только 18% заявили, что они уверены в элементах управления, которые они настроили для своих транзитивных зависимостей, в которых было обнаружено 40% всех уязвимостей.