Ang malawakang paggamit ng open source software (OSS) sa loob ng modernong pag-unlad ng aplikasyon ay nagdudulot ng "makabuluhang panganib sa seguridad", iminumungkahi ng bagong pananaliksik.
Ayon sa isang bagong ulat mula sa kumpanya ng cybersecurity na Snyk, kasama ang Linux (bubukas sa bagong tab) Foundation, ang mga organisasyon ngayon ay hindi handa na harapin ang mga panganib na ito.
Batay sa isang survey ng higit sa 550 respondents, pati na rin ang data na nakuha mula sa 1.3 bilyong open source na proyekto sa pamamagitan ng Snyk Open Source, ang ulat ay nagsasaad na dalawa sa limang (41%) na kumpanya ay hindi kumpiyansa sa seguridad ng kanilang open source code.
Mga kahinaan sa open source code
Ang average na application development project, ito ay natagpuan, ay may 49 na mga kahinaan, pati na rin ang 80 direktang dependencies. Karaniwan, inaabot na ngayon ng 110 araw upang malutas ang isang kahinaan sa isang open source na proyekto, mula sa 49 na araw apat na taon na ang nakalipas.
“Ang mga developer ng software ngayon ay may sariling mga supply chain – sa halip na mag-assemble ng mga piyesa ng kotse, nag-i-assemble sila ng code sa pamamagitan ng pagsasama-sama ng mga kasalukuyang open source na bahagi gamit ang kanilang natatanging code. Bagama't humahantong ito sa pagtaas ng produktibidad at pagbabago, lumikha din ito ng mga makabuluhang alalahanin sa seguridad," sabi ni Matt Jarvis, Direktor, Relasyon ng Developer, Snyk.
Idinagdag ni Jarvis na mayroong isang tiyak na "walang muwang" sa diskarte ng industriya sa open-source na software, na maaaring magbukas ng pinto sa lahat ng paraan ng malware, ransomware at iba pang mga pag-atake.
Halimbawa, wala pang kalahati (49%) ang may patakaran sa seguridad para sa pagbuo o paggamit ng OSS, na bumababa sa 27% sa mga katamtaman at malalaking kumpanya. Higit pa rito, wala pang isang third (30%) ng mga organisasyong walang open-source na patakaran sa seguridad ang nakakaalam ng katotohanan na sa ngayon, walang tumutugon sa seguridad ng open source software.
Ngunit alam ng ilang respondent ang mga hamon sa seguridad na dulot ng open source software sa supply chain. Isang quarter ang nagsabing nag-aalala sila tungkol sa epekto sa seguridad ng kanilang mga dependency sa OSS, at 18% lang ang nagsabing tiwala sila sa mga kontrol na na-set up nila para sa kanilang mga transitive dependencies, kung saan natagpuan ang 40% ng lahat ng mga kahinaan.