Ещё недавно софт с открытым исходным кодом не считался безопасным для применения в коммерческих проектах. Однако его достоинства заставили заказчиков наращивать использование Open Source, и теперь он встречается практически везде. Уже никто не возражает против применения опенсорса, однако заказчики и разработчики со вниманием относятся к тому, чтобы обеспечить безопасность кода.
- Введение
- Безопасность Open Source
- Малые, средние и крупные компании
- Выбор политики безопасности кода в компании
- Контроль за уязвимостями в Open Source
- Уровень возникающих рисков при использовании Open Source
- Откуда становится известно об уязвимостях?
- Сколько времени тратится на поиск уязвимостей?
- Главные выводы исследования
- Направления дальнейшего развития безопасности Open Source
- Выводы
Введение
Программное обеспечение с открытым исходным кодом (Open Source) уже стало неотъемлемой частью большинства программных экосистем. Экспертные оценки указывают на то, что совокупный объём опенсорсного кода, находящегося в эксплуатации в коммерческих системах по всему миру, составляет в настоящее время от 70 до 90 %. Код Open Source встречается практически повсюду: от операционных систем до контейнеров в облачных вычислениях, широкое применение он нашёл в криптографии, сетевых устройствах, веб-разработках.
В апреле 2022 года компания LF Research провела опрос, в котором приняли участие 539 компаний, использующих ПО с открытым исходным кодом для своей разработки и в эксплуатации. Результаты были опубликованы в виде отчёта под названием «Addressing Cybersecurity Challenges in Open Source Software». Партнёрами исследования выступили некоммерческая организация Linux Foundation, ассоциация Open Source Security Foundation (OpenSSF) и ряд других структур (Snyk, Eclipse Foundation, CNCF и CI/CD Foundation). Целью исследования были оценка достигнутого уровня безопасности кода Open Source и выявление направлений, где уровень безопасности ещё недостаточно высок.
Далее мы расскажем о полученных результатах исследования, которые позволили выделить наиболее важные для развития безопасности опенсорс-программ направления. Забегая вперёд, отметим, что в целом полученные результаты были ожидаемыми и не принесли сюрпризов. Польза от исследования состоит прежде всего в том, что оно позволило получить количественные оценки таких понятий, как «безопасная разработка» и «степень уверенности в безопасности при эксплуатации Open Source».
Подробнее >>
