Найти в Дзене
AM Live
4022 подписчика

Open Source на пути к управляемому развитию безопасного кода

11
2 мин
Ещё недавно софт с открытым исходным кодом не считался безопасным для применения в коммерческих проектах. Однако его достоинства заставили заказчиков наращивать использование Open Source, и теперь он встречается практически везде. Уже никто не возражает против применения опенсорса, однако заказчики и разработчики со вниманием относятся к тому, чтобы обеспечить безопасность кода. Введение Программное обеспечение с открытым исходным кодом (Open Source) уже стало неотъемлемой частью большинства программных экосистем. Экспертные оценки указывают на то, что совокупный объём опенсорсного кода, находящегося в эксплуатации в коммерческих системах по всему миру, составляет в настоящее время от 70 до 90 %. Код Open Source встречается практически повсюду: от операционных систем до контейнеров в облачных вычислениях, широкое применение он нашёл в криптографии, сетевых устройствах, веб-разработках. В апреле 2022 года компания LF Research провела опрос, в котором приняли участие 539 компаний, испо

Ещё недавно софт с открытым исходным кодом не считался безопасным для применения в коммерческих проектах. Однако его достоинства заставили заказчиков наращивать использование Open Source, и теперь он встречается практически везде. Уже никто не возражает против применения опенсорса, однако заказчики и разработчики со вниманием относятся к тому, чтобы обеспечить безопасность кода.

  1. Введение
  2. Безопасность Open Source
  3. Малые, средние и крупные компании
  4. Выбор политики безопасности кода в компании
  5. Контроль за уязвимостями в Open Source
  6. Уровень возникающих рисков при использовании Open Source
  7. Откуда становится известно об уязвимостях?
  8. Сколько времени тратится на поиск уязвимостей?
  9. Главные выводы исследования
  10. Направления дальнейшего развития безопасности Open Source
  11. Выводы

Введение

Программное обеспечение с открытым исходным кодом (Open Source) уже стало неотъемлемой частью большинства программных экосистем. Экспертные оценки указывают на то, что совокупный объём опенсорсного кода, находящегося в эксплуатации в коммерческих системах по всему миру, составляет в настоящее время от 70 до 90 %. Код Open Source встречается практически повсюду: от операционных систем до контейнеров в облачных вычислениях, широкое применение он нашёл в криптографии, сетевых устройствах, веб-разработках.

В апреле 2022 года компания LF Research провела опрос, в котором приняли участие 539 компаний, использующих ПО с открытым исходным кодом для своей разработки и в эксплуатации. Результаты были опубликованы в виде отчёта под названием «Addressing Cybersecurity Challenges in Open Source Software». Партнёрами исследования выступили некоммерческая организация Linux Foundation, ассоциация Open Source Security Foundation (OpenSSF) и ряд других структур (Snyk, Eclipse Foundation, CNCF и CI/CD Foundation). Целью исследования были оценка достигнутого уровня безопасности кода Open Source и выявление направлений, где уровень безопасности ещё недостаточно высок.

Далее мы расскажем о полученных результатах исследования, которые позволили выделить наиболее важные для развития безопасности опенсорс-программ направления. Забегая вперёд, отметим, что в целом полученные результаты были ожидаемыми и не принесли сюрпризов. Польза от исследования состоит прежде всего в том, что оно позволило получить количественные оценки таких понятий, как «безопасная разработка» и «степень уверенности в безопасности при эксплуатации Open Source».

Подробнее >>