Site icon Kiber.ba

Sigurnosni izazov otvorenog koda softvera

Softver otvorenog koda čini srce današnjih digitalnih usluga, pružajući podršku za naše javne usluge i kritičnu infrastrukturu. On stvara gradivne blokove za aplikacije, usluge i osnovnu infrastrukturu u kompanijama i javnom sektoru. Softver otvorenog koda koji je slobodan za korištenje je digitalno javno dobro koje koristi svima nama.

Međutim, razumjevanje kako bi softver otvorenog koda trebao biti kuriran od strane korisnika da bi podržao tražene zahtjeve je ograničeno. Kuriranje uključuje više od upravljanja softverom iz tehničke perspektive. Ono naširoko pokriva dobro upravljanje i prakse u korištenju softvera otvorenog koda. Kurs se razlikuje u zavisnosti od slučaja upotrebe softvera, a teret obezbeđivanja da softver ispunjava zahteve regulisanog okruženja leži na krajnjem korisniku koji ga odabere za ovu upotrebu. 

Transparentnost izvornog koda

Transparentnost izvora podržava znatno bolju metodologiju razvoja. Ako se možemo osloniti na vidljivost izvora, možemo proizvesti infrastrukturu od većeg povjerenja. Uz licencirani softver otvorenog koda, korisnik slobodno uzima kod i bira gdje će ga koristiti. Stoga je korisnik, a ne programer, odgovoran za njegovu implementaciju. 

Softver otvorenog koda je otvoren za sve i za bilo koju svrhu, što ga čini potencijalno ranjivim na hakere. Ovom uočenom ranjivošću upravljaju sigurnosne tehnike za identifikaciju i upravljanje potencijalnim hakerima na koordinisan način. Kompletan softver ima greške koje se moraju popraviti, ali za to su potrebni resursi. U tome leži stvarni problem za softver otvorenog koda. Kolaborativna inovacija otvorenog koda pruža besplatnu funkcionalnost koja bi inače zahtijevala kreiranje od nule. Međutim, projekti koji pružaju ovu esencijalnu i prodornu tehnologiju nisu uvijek bili efikasno podržani. Kada nešto pođe po zlu, korisnici se oslanjaju na odgovor ‘zajednice’ – kreatori koda, održavaoci i korisnici koji sarađuju kako bi to popravili. 

Međutim, neki projekti možda nemaju potrebna finansijska sredstva ili kvalifikovan ljudski kapital. Popularni projekti dobijaju najviše pažnje i resursa za riješavanje potencijalnih problema, dok manje poznati projekti imaju manje očiju da ih provjere. Da bismo više pogledali na projekte otvorenog koda i pravedno rasporedili ove napore, potrebno nam je više od postojećih članova zajednice. 

Na primjer,  procijenjeno je da Apache Log4j  koristi 58% svih organizacija i u aplikacijama koje su uticale na milione ljudi. Kada je eksploatacija otkrivena, Cloudflare  je vidio  više od 1000 pokušaja eksploatacije u sekundi. Log4j je bio sveprisutan kod i mnogo se koristio, ali se oslanjao na mali tim za izgradnju i održavanje projekta.  

Log4Shell ranjivost je nepravedno korišćena kao štap za nadmašivanje otvorenog koda – očigledan neraskidiv dokaz da model ‘mnogo očiju’ koji nudi open source nije pogodan za svrhu. Ipak, ranjivosti se javljaju u svim softverima, čak i u onima koje održavaju privatne kompanije koje posjeduju velike resurse. Najvažnije je kako se te ranjivosti pronalaze, popravljaju i zatim distribuišu zajednici koja koristi projekat.

Open Source i Curation

Krajnji korisnici ne samo da su odgovorni za svoje korištenje softvera otvorenog koda, već dobijaju komercijalnu prednost od toga da se distribuiše besplatno i uz nultu cijenu. Stoga moraju preuzeti veći stepen odgovornosti za korištenje tog otvorenog koda. Bilo bi nerazumno nastojati da se bilo kakva odgovornost prebaci na dobronamjernost ovih kreatora i održavatelja. 

Ne možemo se osloniti samo na dobru volju i napore zajednice da isporuči i održi kod kada se koristi u obimu u kojem se koristi otvoreni kod. Potrebna je podrška šire industrije softvera za kompanije i vlada. Google je prednjačio time što je izdvojio 100 miliona dolara za finansiranje veće saradnje između kompanija u rješavanju problema. Ovo je obećavajuće, ali mora doći do šireg spektra globalnog korporativnog angažmana.

Ovo bi trebalo da se sastoji od finansijske podrške onima koji direktno doprinose projektima i većeg broja ljudskih resursa koji mogu da rade zajedno sa tim izvršiocima. Nedostatak digitalnih vještina raste i potrebno je više napora da se buduće generacije razviju sa potrebnim skupovima vještina oko sigurnog kodiranja, uočavanja potencijalnih problema i rada sa zajednicama i korisnicima kako bi se osiguralo da se ažuriranja efikasno implementiraju.

Američka vlada je razvila više razumijevanja softvera otvorenog koda, izgradila poboljšane korisničke prakse i obavezne softverske specifikacije materijala (SBOM) za američke federalne softverske projekte. Evropska komisija je to uvela u svoj Zakon o sajber bezbjednosti iz 2022. godine. Vlada Ujedinjenog Kraljevstva trebala bi objaviti svoj pristup zasnovan na riziku početkom 2023. godine.

Open source je na raskrsnici. Postao je temelj za kritične usluge i za javni sektor i za privatna preduzeća. Ekonomski pad samo će povećati oslanjanje organizacija na slobodni softver. Ali da bi open source bio siguran u budućnosti, ne možemo nastaviti uzimati od zajednice i ne davati ništa zauzvrat. Moramo se fokusirati na finansiranje i resurse na zajednički i zajednički način. 

Izvor: Infosecurity Magazine

Exit mobile version