Το λογισμικό βρίσκεται στον πυρήνα όλων των σύγχρονων επιχειρήσεων και είναι ζωτικής σημασίας σε κάθε πτυχή των λειτουργιών. Σχεδόν κάθε επιχείρηση θα χρησιμοποιεί λογισμικό ανοιχτού κώδικα, εν γνώσει ή όχι, αφού ακόμη και το ιδιόκτητο λογισμικό εξαρτάται από βιβλιοθήκες ανοιχτού κώδικα. του OpenUK Η έκθεση «State of Open» του 2022 διαπίστωσε ότι το 89% των επιχειρήσεων βασίζονταν σε λογισμικό ανοιχτού κώδικα, αλλά δεν είναι όλες ξεκάθαρες σχετικά με τις λεπτομέρειες του λογισμικού στο οποίο βασίζονται.
Οι επιχειρήσεις απαιτούν όλο και περισσότερο περισσότερες πληροφορίες σχετικά με το λογισμικό που είναι κρίσιμο για τη λειτουργία τους. Οι υπεύθυνες επιχειρήσεις ενδιαφέρονται λεπτομερώς για την αλυσίδα εφοδιασμού λογισμικού τους και δημιουργούν ένα λογαριασμό υλικού λογισμικού (SBOM) για κάθε εφαρμογή. Αυτό το επίπεδο πληροφοριών είναι ζωτικής σημασίας, ώστε όταν εντοπιστούν ελαττώματα ασφαλείας στο λογισμικό τους, να μπορούν αμέσως να είναι σίγουροι ποιο λογισμικό και ποιες εκδόσεις χρησιμοποιούνται και ποια συστήματα επηρεάζονται. Η γνώση είναι δύναμη σε αυτές τις καταστάσεις!
Εξάρτηση από Εθελοντές
Στα τέλη του 2021, κλήθηκε μια ευπάθεια ασφαλείας Log4Shell εντοπίστηκε σε ένα ευρέως χρησιμοποιούμενο πλαίσιο καταγραφής Java, το Log4j. Δεδομένου ότι πρόκειται για μια ευρέως χρησιμοποιούμενη βιβλιοθήκη ανοιχτού κώδικα, το θέμα ευπάθειας ήταν ευρέως δημοσιευμένο και αναμένονταν διορθώσεις. Ωστόσο, το συντηρητές του έργου ήταν εθελοντές. Είχαν μεροκάματα και δεν ήταν σε ετοιμότητα για επείγουσες επιδιορθώσεις ασφαλείας, ακόμα κι αν επηρεαζόταν μεγάλος αριθμός συστημάτων. Αυτή η ευπάθεια από μόνη της εκτιμήθηκε ότι επηρέασε το 93% των εταιρικών περιβαλλόντων cloud.
Εκείνη την εποχή, υπήρχε κάποιος αρνητικός τύπος σχετικά με τον ανοιχτό κώδικα, αλλά η αλήθεια είναι ότι αν αυτό ήταν ένα στοιχείο κλειστού κώδικα, η ευπάθεια μπορεί να μην είχε γίνει ποτέ δημόσια γνωστή, αφήνοντας τους οργανισμούς ανοιχτούς σε επιθέσεις. Η φύση ανοιχτού κώδικα της βιβλιοθήκης σήμαινε ότι μπορούσε να επιθεωρηθεί, να εντοπιστούν τα προβλήματα και να προσφερθούν συμβουλές από άλλους. Έτσι, ναι, οι συντηρητές δεν ήταν σε κλήση για προβλήματα ασφαλείας στο εθελοντικό τους έργο. Το μεγάλο ερώτημα, λοιπόν, είναι: Πώς φτάσαμε σε μια κατάσταση όπου οι μεγάλες εταιρείες εξαρτώνται από λογισμικό που ήταν ευθύνη κάποιου που κάνει κάτι άλλο για να πληρώσει τους λογαριασμούς τους;
Η παραμέληση των εξαρτήσεων λογισμικού είναι μια επικίνδυνη επιχείρηση ανεξάρτητα από την άδεια χρήσης του λογισμικού, αλλά όταν είναι ανοιχτού κώδικα και χρησιμοποιείται ευρέως, γίνεται ιδιαίτερα επικίνδυνο. Εμμένοντας στην ιστορία μιας ευπάθειας. το πρόβλημα υπήρχε στη βάση κωδικών για χρόνια, αλλά δεν εντοπίστηκε. Το εργαλείο που χρησιμοποιήθηκε τόσο ευρέως δεν υποστηρίχθηκε, στην πραγματικότητα, τόσο ευρέως — και αυτό που έγινε μετά είναι ιστορία.
Αυτή η ιστορία επαναλαμβάνεται ξανά και ξανά, σε τόσες πολλές επιχειρήσεις που έχουν κρίσιμες εξαρτήσεις αλλά δεν αναλαμβάνουν δράση για να υποστηρίξουν είτε τους συντηρητές είτε τα ίδια τα έργα. Έχοντας ένα SBOM για το λογισμικό που χρησιμοποιείται από μια επιχείρηση σημαίνει ότι έχουν τις πληροφορίες στη διάθεσή τους. Για τους οργανισμούς που προμηθεύουν λογισμικό σε άλλους, η προσδοκία παροχής του SBOM μαζί με τον κώδικα είναι όλο και περισσότερο ο κανόνας.
Γνωρίστε τις εξαρτήσεις για την αξιολόγηση του κινδύνου
Η γνώση των εξαρτήσεων διευκολύνει την αξιολόγηση του κινδύνου που σχετίζεται με την καθεμία. Αυτά τα έργα ανοιχτού κώδικα είναι τα πιο απλά στην αξιολόγηση: απαντώνται ζητήματα και έχουν κυκλοφορήσει πρόσφατα; Το να μπορείτε να δείτε τους συντηρητές και τη δραστηριότητα του έργου για κάθε έργο παρέχει καλή εικόνα για την υγεία του έργου.
Οι επιχειρήσεις μπορούν να παίξουν τον ρόλο τους στη μείωση των κινδύνων υποστηρίζοντας τα έργα από τα οποία εξαρτώνται. Ορισμένα έργα δέχονται χορηγία απευθείας μέσω του προγράμματος GitHub Sponsors, άλλα ενδέχεται να εκτιμήσουν προσφορές φιλοξενίας ή έλεγχο ασφαλείας. Κάθε έργο ανοιχτού κώδικα εκτιμά τις συνεισφορές. Εάν η επιχείρησή σας είχε δημιουργήσει αυτή τη βιβλιοθήκη η ίδια, τότε οι μηχανικοί της εταιρείας θα έπρεπε να διορθώσουν μόνοι τους κάθε σφάλμα.
Ο ανοιχτός κώδικας μοιάζει περισσότερο με ένα σύστημα κοινής ιδιοκτησίας. Δεν χρειάζεται να χτίζουμε όλοι το ίδιο πράγμα επανειλημμένα, αλλά μάλλον μπορούμε να συνεισφέρουμε, κάτι που είναι λιγότερη προσπάθεια και οδηγεί σε καλύτερη ποιότητα ως αποτέλεσμα. Ένα από τα πιο σημαντικά πράγματα που μπορούν να κάνουν οι επιχειρήσεις είναι να χρησιμοποιήσουν λίγους από τους μηχανικούς τους πόρους και συμβάλλουν σε διορθώσεις σφαλμάτων ή δυνατότητες σε έργα που είναι τόσο βασικός για την επιχείρηση.
Διατηρώντας τους δικούς σας μηχανικούς που συμμετέχουν σε ένα έργο έχει πολλά οφέλη. Το γνωρίζουν και μπορούν να παρακολουθούν νέες δυνατότητες ή όταν είναι διαθέσιμη μια νέα έκδοση. Το σημαντικότερο είναι ότι η επιχείρηση έχει εικόνα για την υγεία και την κατάσταση του εξαρτημένου έργου και αποτελεί μέρος αυτού που το διατηρεί υγιές, μειώνοντας τον κίνδυνο για την επιχείρηση ενός προβλήματος με εξάρτηση. Ορισμένοι οργανισμοί, συμπεριλαμβανομένης της Aiven, διαθέτουν OSPO (γραφείο προγράμματος ανοιχτού κώδικα), με προσωπικό αφοσιωμένο στη συνεισφορά ή ακόμα και στη συντήρηση των έργων που χρησιμοποιούνται από τον οργανισμό. Αυτά τα τμήματα συχνά συμβάλλουν στη γενική παρουσία της εταιρείας στο οικοσύστημα ανοιχτού κώδικα και επιτρέπουν σε άλλους υπαλλήλους να ασχοληθούν με τον ανοιχτό κώδικα.
Μια άλλη προσέγγιση είναι η υποστήριξη των οργανισμών που υπάρχουν για την υποστήριξη του ανοιχτού κώδικα. ο OpenSSF (Open Source Security Foundation) εργάζεται για τη βελτίωση της ασφάλειας των έργων ανοιχτού κώδικα και χρηματοδοτείται από τους οργανισμούς που εξαρτώνται από αυτά τα έργα. Δημοσιεύει επίσης εξαιρετικούς πόρους εκμάθησης, ώστε οι επιχειρήσεις να μπορούν να εκπαιδεύονται σχετικά με τους κινδύνους του λογισμικού που χρησιμοποιούν. Μια άλλη παρόμοια οργάνωση είναι Tidelift, η οποία συνεργάζεται με συντηρητές για να διασφαλίσει ότι πληρούνται ορισμένες βασικές απαιτήσεις, και πάλι χρηματοδοτούμενη από τους οργανισμούς. Το Tidelift παρέχει επίσης εργαλεία και εκπαίδευση για να βοηθήσει τις επιχειρήσεις να διαχειριστούν την αλυσίδα εφοδιασμού λογισμικού τους και να υιοθετήσουν βέλτιστες πρακτικές σε αυτόν τον τομέα.
Διασφάλιση ενός ασφαλέστερου μέλλοντος λογισμικού
Οι επιχειρήσεις εξαρτώνται από λογισμικό, και αυτό περιλαμβάνει λογισμικό ανοιχτού κώδικα, το οποίο χρησιμοποιείται ευρέως και συνήθως πιο ασφαλές από τις ιδιόκτητες εναλλακτικές λύσεις.
Αυτή είναι μια έξυπνη κίνηση, αλλά μια ακόμη πιο έξυπνη κίνηση είναι να έχουμε σαφή γνώση της αλυσίδας εφοδιασμού λογισμικού και των εξαρτήσεών της. Όταν προκύψει ένα πρόβλημα, ανάλογα με τα υγιή έργα και η διαθεσιμότητα των λεπτομερειών του λογισμικού σας βοηθά κάθε οργανισμό. Εάν κάθε οργανισμός το έκανε αυτό, τότε ο κίνδυνος εμφάνισης συμβάντων όπως η ευπάθεια Log4Shell μειώνεται.
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
