Софтуерните компании от десетилетия се основават на отворен код. Сега те трябва да дадат своя принос

Отвореният код е една от най-силните страни на софтуерната индустрия. Това е огромният океан от код, функции, приложения и операционни системи, който позволява на най-малките стартиращи компании да се конкурират с най-могъщите технологични гиганти.

Отвореният код – най-често написан от малки групи ентусиасти – може да се използва свободно от всеки. Той е тайната съставка в повечето софтуерни проекти, което означава, че на разработчиците не се налага да започват от нулата всеки път.

Всеки от тези отделни проекти с отворен код може да е малък, но заедно те съставляват по-голямата част от софтуера, който използваме.

Той въплъщава няколко доста благородни концепции: че печелим повече, като споделяме знания, отколкото като ги трупаме, и че дори най-малкият принос към сумата на знанията може да има значение.

Проблемът е, че много хора в софтуерната индустрия не го виждат по този начин.

Те виждат отворения код само като много удобен източник на безплатен софтуер, който могат да използват както си искат. Все по-често това е отношение, което създава проблеми за всички нас.

Отвореният код невинаги е съвършен. Някои разработчици създават проекти, които смятат за забавни или готини, без да се интересуват или да имат опит в това да се уверят, че проектът е и суперсигурен. Възможно е също така проектите да спрат да получават актуализации или просто да бъдат изоставени, защото поддържащите ги губят интерес или просто изчерпват силите си.

Повече от развлечение

Тези неща може да не изглеждат като нещо голямо. На кого му пука, че един малък хоби проект е изоставен?

Проблем става, ако един от тези проекти с отворен код е бил използван за създаването на друг софтуер, който се използва от много хора или който поддържа част от критичната национална инфраструктура.

Това се случва по-често, отколкото много хора осъзнават. Според проучване на Synopsys 91 % от кодовите бази съдържат компоненти, които са с 10 или повече остарели версии, а 49 % от кодовите бази съдържат компоненти с отворен код, които не са имали никаква развойна дейност през последните две години.

Вече видяхме примери за това, че въздействието на недостатъците в отворения код може да предизвика криза в технологичната индустрия, като Log4j е може би най-известният пример. Проблемът се засилва от мистериозните лоши момчета, които активно се стремят да добавят задни вратички към отворения код по свои собствени (почти сигурно злонамерени) причини, както в случая с почти пълния пропуск с XZ Utils и други. Това е много лош знак, че нападателите са идентифицирали компонентите с отворен код като слабо място в технологичната сигурност – и това е развитие, което прави още по-належащо отстраняването на по-големия проблем.

Целият софтуер е изграден върху други софтуерни проекти, но много софтуерни компании изграждат печеливши продукти, като стоят на раменете на изтощени доброволци или любители, които се нуждаят от повече пари и повече помощ. В момента именно хората, които са помогнали на технологичната индустрия да „се движи бързо и да чупи нещата“, сами остават посинени и счупени.

Както наскоро отбеляза фондация OpenJS: „Натискът за поддържане на стабилен и сигурен проект с отворен код създава напрежение върху поддръжниците. Например, много проекти в екосистемата на JavaScript се поддържат от малки екипи или отделни разработчици, които са претоварени от търговски компании, които зависят от тези проекти, ръководени от общността, но допринасят много малко за това.“

И така, какво трябва да се промени?

Според мен е трудно да се обвиняват хората или екипите, които предоставят безплатно времето и уменията си, за да създават тези проекти. Със сигурност те се нуждаят от помощ, но тежестта не трябва да пада само върху тях. Вместо това софтуерната индустрия трябва да поеме по-голяма отговорност за софтуера с отворен код, който използва – и от който печели.

Софтуерните компании дълго време не желаеха да предоставят софтуерен опис на материалите – списък на съставките – за своите продукти. Поради това е трудно да се разбере какво наистина се съдържа в техните продукти и е по-трудно да се намалят недостатъците. По-ясната информация за това какво е включено в техните продукти ще помогне да се изясни въздействието на отворения код.

Софтуерните компании също така трябва да правят повече в подкрепа на отворения код, който използват, като предоставят подобрения в сигурността, за да направят всички по-сигурни.

Стъпка в правилната посока

Има основания за известен ограничен оптимизъм, че състоянието на сигурността на отворения код може би ще се подобри. В ход са редица инициативи, всяка от които има за цел да се справи с проблема от различни посоки. Някои големи технологични компании имат инженери, които работят директно с широко използвани проекти с отворен код, за да подобрят сигурността правят поправки една  по една.

Съществуват и други по-широки усилия като наскоро стартиралия „Protobom“ – проект на Фондацията за сигурност с отворен код (OpenSSF), заедно с Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA). Това е инструмент за веригата за доставка на софтуер с отворен код, който позволява на разработчиците да създават стандартна софтуерна спецификация. Съществуват и редица други инструменти, които са в процес на разработване.

Тези стъпки са положителни, но повече биха помогнали; технологичната индустрия не може да продължава да смята проектите с отворен код за незаменими, но да третира хората зад тях  като незначителни.

Макар че засега ръководителите на технологични компании могат да се възползват от предимствата на отворения код без голяма част от отговорностите, това може би е на път да се промени.

В САЩ от висшите ръководители вече се изисква да се подписват за безопасността на техния софтуер. Това може да насочи вниманието им към това какво точно се намира в продуктите, които продават, и в резултат на това отговорността за гарантиране на сигурността на софтуера може най-накрая да бъде споделена по начина, по който винаги е трябвало да бъде.

 

Източник: itpro.co.uk

Подобни публикации

24 януари 2025

Google ще инвестира още 1 милиард долара в Anth...

Google обяви, че планира да увеличи инвестициите си в Anthropic, сл...
24 януари 2025

DryRun набира 8,7 милиона долара начално финанс...

В сряда DryRun Security обяви, че е набрала 8,7 млн. долара в начал...
24 януари 2025

Новият Identity Check в Android заключва настро...

Google обяви нова функция за сигурност на Android „Проверка на само...
24 януари 2025

QNAP отстранява 6 уязвимости на Rsync в приложе...

QNAP е отстранила шест уязвимости в rsync, които могат да позволят ...
24 януари 2025

Инженер по ИИ е сред най-бързо развиващите се п...

Инженер по изкуствен интелект (ИИ) е сред най-търсените длъжности н...
24 януари 2025

Шефът на НАТО бърза с внедряването на ИИ във во...

Световният икономически форум предложи поглед към бъдещето – ...
Бъдете социални
Още по темата
23/01/2025

Тръмп отменя правилата на Б...

Президентът Доналд Тръмп отмени заповедта на...
21/01/2025

Злоупотреба с услугите на M...

Наблюдавани са две отделни заплахи, които...
21/01/2025

2025: Управление на повърхн...

Бизнес трансформацията предефинира управлението на повърхността...
Последно добавени
24/01/2025

Google ще инвестира още 1 м...

Google обяви, че планира да увеличи...
24/01/2025

DryRun набира 8,7 милиона д...

В сряда DryRun Security обяви, че...
24/01/2025

Новият Identity Check в And...

Google обяви нова функция за сигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!