Prema Lineajeu, geografska distribucija doprinosa otvorenog koda uvodi geopolitičke rizike koje organizacije moraju hitno razmotriti, posebno s rastućim napadima na nacionalne države.
Rizici otvorenog koda rastu s anonimnim doprinosima
Microsoft procjenjuje da se njegovi klijenti suočavaju sa 600 miliona cyber napada dnevno, od kojih su 24% napadači iz nacionalnih država usmjereni na IT sektor. Sa softverom koji podržava sve vitalnije sisteme, porijeklo koda postalo je pitanje nacionalne i ekonomske sigurnosti.
34% doprinosa otvorenog koda dolazi iz SAD-a, 13% iz Rusije, a manji procenat iz Kanade, Velike Britanije i Kine.
Od američkih doprinosa otvorenog koda, 20% je anonimno – više nego dvostruko više od ruskih kolega i tri puta više od kineskih saradnika. Globalno, 5-8% svih komponenti otvorenog koda bilo koje aplikacije je nepoznato, neovlašteno ili sumnjivog porijekla – od kojih su mnoge anonimne.
Implikacija je da programeri ugrađuju kod u projekte bez potpunog razumijevanja njegovog porijekla i funkcionalnosti, potencijalno uvodeći skrivena vrata, maliciozni softver ili kritične ranjivosti i predstavljaju značajne rizike.
Vitalne industrije kao što su odbrambeni sistemi, voda, struja, bankarstvo i maloprodaja bore se sa održavanjem softvera. Budući da ove industrije često imaju doprinose iz više zemalja, potpuno isključiti bilo koje protivničke nacije je izazov.
Mnogim ranjivostima nedostaju ispravke
Izvještaj je otkrio da bez obzira na geografsko porijeklo, prosječna aplikacija srednje veličine ima nekoliko uznemirujućih trendova koji dovode do kritičnih ranjivosti .
Otvoreni kod doprinosi 2 do 9 puta većem kodu koji pišu vaši programeri, a 95% sigurnosnih slabosti potiče od zavisnosti od paketa otvorenog koda. 51% ovih ranjivosti, na svim nivoima ozbiljnosti CVE , nema poznatih popravki. Osim toga, 70% komponenti otvorenog koda se više ne održava ili se loše održava.
Iznenađujuće, neodržavani open-source je manje ranjiv od dobro održavanog otvorenog koda, koji je 1,8 puta ranjiviji. Visoka stopa promjene dobro održavanih komponenti povećava rizike.
Individualni projekti otvorenog koda ugrađuju do 60 slojeva komponenti iz desetina organizacija otvorenog koda. Često su sastavljeni u složenu Lego strukturu u jednu zavisnost koju programeri uključuju u aplikacije svojih organizacija, što dovodi do loše procjene rizika i još lošijih pristupa sanaciji. Znajući koje ranjivosti programeri mogu lako da poprave, a koje ne bi trebalo, eliminiše najmanje 50% napora za otklanjanje ranjivosti i poboljšava sigurnosni položaj za 20-70%.
„Usred trenutnih geopolitičkih tenzija i globalne zavisnosti od otvorenog koda, ključno je za preduzeća da se opremi sa robusnim alatima za sigurnost i održavanje lanca nabavke softvera koji otkrivaju skrivene sigurnosne praznine i pružaju sveobuhvatan uvid u potencijalne ranjivosti u realnom vremenu – istovremeno osiguravajući usklađenost sa standardima koji se stalno razvijaju,” rekao je Javed Hasan , izvršni direktor, Lineaje.
Veličina tima utiče na kvalitet i sigurnost
15% komponenti otvorenog koda ima više verzija u jednoj aplikaciji, što otežava napore za sanaciju. Aplikacija srednje veličine može uvući 1,4 miliona linija koda na 139 jezika i često uvlači rizičnije jezike koji nisu sigurni u memoriju. Sigurne po dizajnu organizacije mogu koristiti memorijske sigurne jezike u privatnom kodu, ali njihove zavisnosti pogoršavaju sigurnosne rizike osim ako jezik nije kriterijum odabira za zavisnost otvorenog koda.
Projekti otvorenog koda u kojima rade vrlo mali timovi (<10) i veliki timovi (>50) isporučuju rizičnije pakete od timova srednje veličine. Mali timovi isporučuju 330% više rizičnih projekata od timova srednje veličine, dok veći timovi isporučuju pakete sa 40% više rizika od timova srednje veličine.
„Projekti otvorenog koda omogućavaju inovacije proizvoda koji transformišu industriju za preduzetnike, vladine agencije i kompanije širom sveta. Međutim, uz velike inovacije dolaze i veći rizici – ali to ne znači da rizici nisu vrijedni preuzimanja,” rekao je Manish Gaur , direktor, Product Security VMWare od Broadcoma.
Izvor:Help Net Security
