Софтуерните компании от десетилетия се основават на отворен код. Сега те трябва да дадат своя принос
Отвореният код е една от най-силните страни на софтуерната индустрия. Това е огромният океан от код, функции, приложения и операционни системи, който позволява на най-малките стартиращи компании да се конкурират с най-могъщите технологични гиганти.
Отвореният код – най-често написан от малки групи ентусиасти – може да се използва свободно от всеки. Той е тайната съставка в повечето софтуерни проекти, което означава, че на разработчиците не се налага да започват от нулата всеки път.
Всеки от тези отделни проекти с отворен код може да е малък, но заедно те съставляват по-голямата част от софтуера, който използваме.
Той въплъщава няколко доста благородни концепции: че печелим повече, като споделяме знания, отколкото като ги трупаме, и че дори най-малкият принос към сумата на знанията може да има значение.
Проблемът е, че много хора в софтуерната индустрия не го виждат по този начин.
Те виждат отворения код само като много удобен източник на безплатен софтуер, който могат да използват както си искат. Все по-често това е отношение, което създава проблеми за всички нас.
Отвореният код невинаги е съвършен. Някои разработчици създават проекти, които смятат за забавни или готини, без да се интересуват или да имат опит в това да се уверят, че проектът е и суперсигурен. Възможно е също така проектите да спрат да получават актуализации или просто да бъдат изоставени, защото поддържащите ги губят интерес или просто изчерпват силите си.
Тези неща може да не изглеждат като нещо голямо. На кого му пука, че един малък хоби проект е изоставен?
Проблем става, ако един от тези проекти с отворен код е бил използван за създаването на друг софтуер, който се използва от много хора или който поддържа част от критичната национална инфраструктура.
Това се случва по-често, отколкото много хора осъзнават. Според проучване на Synopsys 91 % от кодовите бази съдържат компоненти, които са с 10 или повече остарели версии, а 49 % от кодовите бази съдържат компоненти с отворен код, които не са имали никаква развойна дейност през последните две години.
Вече видяхме примери за това, че въздействието на недостатъците в отворения код може да предизвика криза в технологичната индустрия, като Log4j е може би най-известният пример. Проблемът се засилва от мистериозните лоши момчета, които активно се стремят да добавят задни вратички към отворения код по свои собствени (почти сигурно злонамерени) причини, както в случая с почти пълния пропуск с XZ Utils и други. Това е много лош знак, че нападателите са идентифицирали компонентите с отворен код като слабо място в технологичната сигурност – и това е развитие, което прави още по-належащо отстраняването на по-големия проблем.
Целият софтуер е изграден върху други софтуерни проекти, но много софтуерни компании изграждат печеливши продукти, като стоят на раменете на изтощени доброволци или любители, които се нуждаят от повече пари и повече помощ. В момента именно хората, които са помогнали на технологичната индустрия да „се движи бързо и да чупи нещата“, сами остават посинени и счупени.
Както наскоро отбеляза фондация OpenJS: „Натискът за поддържане на стабилен и сигурен проект с отворен код създава напрежение върху поддръжниците. Например, много проекти в екосистемата на JavaScript се поддържат от малки екипи или отделни разработчици, които са претоварени от търговски компании, които зависят от тези проекти, ръководени от общността, но допринасят много малко за това.“
Според мен е трудно да се обвиняват хората или екипите, които предоставят безплатно времето и уменията си, за да създават тези проекти. Със сигурност те се нуждаят от помощ, но тежестта не трябва да пада само върху тях. Вместо това софтуерната индустрия трябва да поеме по-голяма отговорност за софтуера с отворен код, който използва – и от който печели.
Софтуерните компании дълго време не желаеха да предоставят софтуерен опис на материалите – списък на съставките – за своите продукти. Поради това е трудно да се разбере какво наистина се съдържа в техните продукти и е по-трудно да се намалят недостатъците. По-ясната информация за това какво е включено в техните продукти ще помогне да се изясни въздействието на отворения код.
Софтуерните компании също така трябва да правят повече в подкрепа на отворения код, който използват, като предоставят подобрения в сигурността, за да направят всички по-сигурни.
Има основания за известен ограничен оптимизъм, че състоянието на сигурността на отворения код може би ще се подобри. В ход са редица инициативи, всяка от които има за цел да се справи с проблема от различни посоки. Някои големи технологични компании имат инженери, които работят директно с широко използвани проекти с отворен код, за да подобрят сигурността правят поправки една по една.
Съществуват и други по-широки усилия като наскоро стартиралия „Protobom“ – проект на Фондацията за сигурност с отворен код (OpenSSF), заедно с Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA). Това е инструмент за веригата за доставка на софтуер с отворен код, който позволява на разработчиците да създават стандартна софтуерна спецификация. Съществуват и редица други инструменти, които са в процес на разработване.
Тези стъпки са положителни, но повече биха помогнали; технологичната индустрия не може да продължава да смята проектите с отворен код за незаменими, но да третира хората зад тях като незначителни.
Макар че засега ръководителите на технологични компании могат да се възползват от предимствата на отворения код без голяма част от отговорностите, това може би е на път да се промени.
В САЩ от висшите ръководители вече се изисква да се подписват за безопасността на техния софтуер. Това може да насочи вниманието им към това какво точно се намира в продуктите, които продават, и в резултат на това отговорността за гарантиране на сигурността на софтуера може най-накрая да бъде споделена по начина, по който винаги е трябвало да бъде.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.