Razširjena uporaba odprtokodne programske opreme (OSS) v sodobnem razvoju aplikacij predstavlja "znatno varnostno tveganje", kažejo nove raziskave.
Glede na novo poročilo podjetja za kibernetsko varnost Snyk, skupaj z Linuxom (odpre se v novem zavihku) Fundacije, so današnje organizacije premalo pripravljene na spopadanje s temi tveganji.
Na podlagi ankete več kot 550 anketirancev in podatkov, pridobljenih iz 1.3 milijarde odprtokodnih projektov prek Snyk Open Source, poročilo navaja, da dve od petih (41 %) podjetij nista prepričani o varnosti svoje odprtokodne kode.
Ranljivosti v odprtokodni kodi
Ugotovljeno je bilo, da ima povprečen projekt razvoja aplikacije 49 ranljivosti in 80 neposrednih odvisnosti. Običajno zdaj traja 110 dni, da odpravimo ranljivost v odprtokodnem projektu, pred štirimi leti pa 49 dni.
»Razvijalci programske opreme imajo danes svoje dobavne verige – namesto da bi sestavljali avtomobilske dele, sestavljajo kodo tako, da združujejo obstoječe odprtokodne komponente z njihovo edinstveno kodo. Medtem ko to vodi k večji produktivnosti in inovativnosti, je povzročilo tudi precejšnje pomisleke glede varnosti,« je dejal Matt Jarvis, direktor odnosov z razvijalci, Snyk.
Jarvis je dodal, da obstaja določena "naivnost" v pristopu industrije do odprtokodne programske opreme, ki bi lahko odprla vrata vsem vrstam zlonamerne programske opreme, izsiljevalske programske opreme in drugih napadov.
Na primer, manj kot polovica (49 %) ima varnostno politiko za razvoj ali uporabo OSS, kar je med srednjimi in velikimi podjetji padlo na 27 %. Poleg tega se manj kot tretjina (30 %) organizacij brez odprtokodne varnostne politike zaveda dejstva, da se trenutno nihče ne ukvarja z varnostjo odprtokodne programske opreme.
Toda nekateri anketiranci se zavedajo varnostnih izzivov, ki jih v dobavni verigi predstavlja odprtokodna programska oprema. Četrtina jih je dejala, da jih skrbi varnostni vpliv njihovih odvisnosti od OSS, in le 18 % jih je dejalo, da so prepričani v nadzor, ki so ga nastavili za svoje prehodne odvisnosti, kjer je bilo odkritih 40 % vseh ranljivosti.