Слепая вера в безопасность открытого кода вредит нам

Программное обеспечение с открытым исходным кодом становится все более популярным среди разработчиков и технологических компаний. Однако неограниченное развертывание подобного ПО неуклонно становится риском для безопасности, утверждается в новом отчете "Состояние безопасности открытого кода" .

Исследование, проведенное фирмой Snyk, занимающейся вопросами безопасности разработчиков, и Linux Foundation, показывает, что более трети организаций не достаточно уверены в безопасности программного обеспечения с открытым исходным кодом. Говоря об отчете, Мэтт Джарвис, директор по связям с разработчиками в Snyk, сказал:

«Сегодня разработчики программного обеспечения имеют свои собственные цепочки поставок - вместо того, чтобы собирать детали автомобиля, они собирают код, соединяя существующие компоненты с открытым исходным кодом со своим уникальным кодом. Хотя это ведет к повышению производительности и инновациям, это также породило серьезные проблемы безопасности».

«Этот первый в своем роде отчет обнаружил широко распространенные свидетельства, указывающие на наивность отрасли в отношении состояния безопасности открытых исходных кодов сегодня. Вместе с The Linux Foundation мы планируем использовать эти выводы для дальнейшего обучения и оснащения мировых разработчиков, что позволит им продолжать быстро создавать новые продукты, оставаясь при этом в безопасности».

По данным исследования, средний проект по разработке приложений имеет 49 уязвимостей и 80 прямых зависимостей. Более того, время, необходимое для устранения уязвимостей в проектах с открытым исходным кодом, неуклонно растет. Еще в 2018 году на устранение уязвимости в системе безопасности уходило в среднем 49 дней. В 2021 году на разработку патча потребуется уже около 110 дней.

Как говорится в отчете, только 49% организаций имеют политику безопасности для разработки или использования программного обеспечения с открытым исходным кодом. Причем для средних и крупных компаний это число составляет всего 27%. Около 30% организаций признались, что никто в их команде не несет прямой ответственности за безопасность открытого ПО и даже не занимается этим вопросом. Кстати, в этих компаниях не было специальной политики безопасности открытого ПО.

Отчет основан на опросе более 550 респондентов в первом квартале 2022 года, а также на данных Snyk Open Source, которые включают тщательный анализ более 1,3 миллиарда проектов с открытым исходным кодом.