Open-source используется большинством компаний. Пришло время повысить его безопасность.
Проекты с открытым исходным кодом, осуществляемые отдельными людьми и командами разработчиков по всему миру, используются всеми - от крупных корпоративных игроков до малого и среднего бизнеса.
Компоненты с открытым исходным кодом хранятся и распространяются публично, и могут представлять из себя широчайший спектр софта - от полноценных операционных систем до библиотек, образовательных инструментов и серверного программного обеспечения, среди многих других функций.
В ходе недавнего исследования Linux Foundation и edX выяснили, что спрос на программистов и экспертов по открытому коду продолжает расти, но 92% руководителей сталкиваются с проблемами, когда дело доходит до поиска талантов, необходимых для заполнения текущих вакансий.
Поскольку дефицит уже существует, а многие проекты с открытым исходным кодом подпитываются разработчиками, которые не получают вознаграждения за свои усилия, иногда вопросы безопасности могут ускользать из поля зрения. В 2020 году исследование GitHub показало, что в среднем на обнаружение уязвимостей в открытом коде может уйти до четырех лет - 83% из них вызваны ошибками и человеческим фактором. В результате существуют «явные возможности для улучшения работы с уязвимостями» в экосистеме открытого кода.
Однако дело не только в выявлении багов - необходимо также оперативно разрабатывать и безопасно применять исправления.
Именно здесь на помощь приходит проект Internet Bug Bounty (IBB). Сейчас IBB управляется компанией HackerOne и описывается как проект, направленный на «объединение финансирования и стимулирование исследователей безопасности к тому, чтобы они сообщали об уязвимостях в программном обеспечении с открытым исходным кодом». В проекте введена новая модель финансирования, в которой участвуют такие компании, как Elastic, TikTok, Shopify и Facebook.
Грядут три основных изменения: пользователям HackerOne теперь будет предоставлена возможность направлять от 1% до 10% от своих текущих расходов на проекты с открытым исходным кодом, компоненты которых они могут использовать, а вознаграждения теперь будут делиться между хакерами и разработчиками по принципу 80/20.
«Поскольку разработчики открытого ПО добровольно помогают устранять обнаруженные уязвимости, разделение вознаграждения гарантирует выплату каждому заинтересованному лицу кто вносит свой вклад в управление уязвимостями» - заявляют в HackerOne.
Другое изменение - это упрощенная процедура подачи отчетов об уязвимостях.
С момента запуска проекта в 2013 году было зарегистрировано более 1 000 уязвимостей, и около 300 исследователей получили денежные вознаграждения на общую сумму около 900 000 долларов.
В настоящее время в число проектов входят Ruby, Node.js, Python, Django и Curl, а в будущем планируется добавить еще несколько.
Недавние кибератаки на цепочки поставок программного обеспечения демонстрируют срочную необходимость устранения этих организационных «слепых пятен». Программное обеспечение с открытым исходным кодом представляет собой растущую с каждым годом поверхность атак на цепочки поставок» - заявил Алекс Райс, технический директор и соучредитель HackerOne. «Новый IBB дает возможность организациям, пользующимся открытым исходным кодом, играть активную роль в коллективном создании более безопасной цифровой инфраструктуры для всех».
Источник: https://is-systems.org