Търсене
Close this search box.

Време е да се справим с проблема със сигурността на отворения код

Софтуерните компании от десетилетия се основават на отворен код. Сега те трябва да дадат своя принос

Отвореният код е една от най-силните страни на софтуерната индустрия. Това е огромният океан от код, функции, приложения и операционни системи, който позволява на най-малките стартиращи компании да се конкурират с най-могъщите технологични гиганти.

Отвореният код – най-често написан от малки групи ентусиасти – може да се използва свободно от всеки. Той е тайната съставка в повечето софтуерни проекти, което означава, че на разработчиците не се налага да започват от нулата всеки път.

Всеки от тези отделни проекти с отворен код може да е малък, но заедно те съставляват по-голямата част от софтуера, който използваме.

Той въплъщава няколко доста благородни концепции: че печелим повече, като споделяме знания, отколкото като ги трупаме, и че дори най-малкият принос към сумата на знанията може да има значение.

Проблемът е, че много хора в софтуерната индустрия не го виждат по този начин.

Те виждат отворения код само като много удобен източник на безплатен софтуер, който могат да използват както си искат. Все по-често това е отношение, което създава проблеми за всички нас.

Отвореният код невинаги е съвършен. Някои разработчици създават проекти, които смятат за забавни или готини, без да се интересуват или да имат опит в това да се уверят, че проектът е и суперсигурен. Възможно е също така проектите да спрат да получават актуализации или просто да бъдат изоставени, защото поддържащите ги губят интерес или просто изчерпват силите си.

Повече от развлечение

Тези неща може да не изглеждат като нещо голямо. На кого му пука, че един малък хоби проект е изоставен?

Проблем става, ако един от тези проекти с отворен код е бил използван за създаването на друг софтуер, който се използва от много хора или който поддържа част от критичната национална инфраструктура.

Това се случва по-често, отколкото много хора осъзнават. Според проучване на Synopsys 91 % от кодовите бази съдържат компоненти, които са с 10 или повече остарели версии, а 49 % от кодовите бази съдържат компоненти с отворен код, които не са имали никаква развойна дейност през последните две години.

Вече видяхме примери за това, че въздействието на недостатъците в отворения код може да предизвика криза в технологичната индустрия, като Log4j е може би най-известният пример. Проблемът се засилва от мистериозните лоши момчета, които активно се стремят да добавят задни вратички към отворения код по свои собствени (почти сигурно злонамерени) причини, както в случая с почти пълния пропуск с XZ Utils и други. Това е много лош знак, че нападателите са идентифицирали компонентите с отворен код като слабо място в технологичната сигурност – и това е развитие, което прави още по-належащо отстраняването на по-големия проблем.

Целият софтуер е изграден върху други софтуерни проекти, но много софтуерни компании изграждат печеливши продукти, като стоят на раменете на изтощени доброволци или любители, които се нуждаят от повече пари и повече помощ. В момента именно хората, които са помогнали на технологичната индустрия да „се движи бързо и да чупи нещата“, сами остават посинени и счупени.

Както наскоро отбеляза фондация OpenJS: „Натискът за поддържане на стабилен и сигурен проект с отворен код създава напрежение върху поддръжниците. Например, много проекти в екосистемата на JavaScript се поддържат от малки екипи или отделни разработчици, които са претоварени от търговски компании, които зависят от тези проекти, ръководени от общността, но допринасят много малко за това.“

И така, какво трябва да се промени?

Според мен е трудно да се обвиняват хората или екипите, които предоставят безплатно времето и уменията си, за да създават тези проекти. Със сигурност те се нуждаят от помощ, но тежестта не трябва да пада само върху тях. Вместо това софтуерната индустрия трябва да поеме по-голяма отговорност за софтуера с отворен код, който използва – и от който печели.

Софтуерните компании дълго време не желаеха да предоставят софтуерен опис на материалите – списък на съставките – за своите продукти. Поради това е трудно да се разбере какво наистина се съдържа в техните продукти и е по-трудно да се намалят недостатъците. По-ясната информация за това какво е включено в техните продукти ще помогне да се изясни въздействието на отворения код.

Софтуерните компании също така трябва да правят повече в подкрепа на отворения код, който използват, като предоставят подобрения в сигурността, за да направят всички по-сигурни.

Стъпка в правилната посока

Има основания за известен ограничен оптимизъм, че състоянието на сигурността на отворения код може би ще се подобри. В ход са редица инициативи, всяка от които има за цел да се справи с проблема от различни посоки. Някои големи технологични компании имат инженери, които работят директно с широко използвани проекти с отворен код, за да подобрят сигурността правят поправки една  по една.

Съществуват и други по-широки усилия като наскоро стартиралия „Protobom“ – проект на Фондацията за сигурност с отворен код (OpenSSF), заедно с Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA). Това е инструмент за веригата за доставка на софтуер с отворен код, който позволява на разработчиците да създават стандартна софтуерна спецификация. Съществуват и редица други инструменти, които са в процес на разработване.

Тези стъпки са положителни, но повече биха помогнали; технологичната индустрия не може да продължава да смята проектите с отворен код за незаменими, но да третира хората зад тях  като незначителни.

Макар че засега ръководителите на технологични компании могат да се възползват от предимствата на отворения код без голяма част от отговорностите, това може би е на път да се промени.

В САЩ от висшите ръководители вече се изисква да се подписват за безопасността на техния софтуер. Това може да насочи вниманието им към това какво точно се намира в продуктите, които продават, и в резултат на това отговорността за гарантиране на сигурността на софтуера може най-накрая да бъде споделена по начина, по който винаги е трябвало да бъде.

 

Източник: itpro.co.uk

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...
Бъдете социални
Още по темата
22/07/2024

CISA публикува наръчник за ...

Агенцията за киберсигурност и инфраструктурна сигурност...
19/07/2024

Компаниите събират биометри...

Представете си, че се разхождате по...
15/07/2024

SEXi ransomware се преимену...

Операцията SEXi ransomware, известна с атаките...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!