Tarkvara on kõigi kaasaegsete ettevõtete keskmes ja on igas tegevuse aspektis ülioluline. Peaaegu iga ettevõte kasutab teadlikult või muul viisil avatud lähtekoodiga tarkvara, kuna isegi patenteeritud tarkvara sõltub avatud lähtekoodiga raamatukogudest. OpenUK oma 2022. aasta aruandest „State of Open” leiti, et 89% ettevõtetest tugines avatud lähtekoodiga tarkvarale, kuid mitte kõik neist ei ole selged tarkvara üksikasjades, millele nad tuginevad.
Ettevõtted nõuavad üha enam rohkem teavet oma töökriitilise tarkvara kohta. Vastutustundlikud ettevõtted tunnevad üksikasjalikku huvi oma tarkvara tarneahela vastu ja loovad iga rakenduse jaoks tarkvaramaterjalide (SBOM). See teabetase on ülioluline, et kui nende tarkvaras tuvastatakse turvavigu, saaksid nad kohe kindlad olla, milline tarkvara ja versioonid on kasutusel ning milliseid süsteeme see mõjutab. Teadmised on sellistes olukordades jõud!
Vabatahtlikele toetumine
2021. aasta lõpus kutsuti esile turvahaavatavus Log4Shell tuvastati laialdaselt kasutatavas Java logimisraamistikus Log4j. Kuna tegemist on laialdaselt kasutatava avatud lähtekoodiga raamatukoguga, avaldati haavatavus hästi ja oodati parandusi. Siiski, projekti ülalpidajad olid vabatahtlikud. Neil oli päevatöö ja nad ei olnud kiireloomuliste turvaparanduste jaoks valves, isegi kui see oli mõjutanud paljusid süsteeme. Ainuüksi see haavatavus mõjutas hinnanguliselt 93% ettevõtte pilvekeskkondadest.
Tol ajal avaldati avatud lähtekoodiga seotud negatiivset ajakirjandust, kuid tõde on see, et kui see oli suletud lähtekoodiga komponent, ei pruugi haavatavus kunagi avalikult teada saada, jättes organisatsioonid rünnakute avatuks. Raamatukogu avatud lähtekoodiga olemus tähendas, et seda oli võimalik kontrollida, probleeme leida ja teistelt nõu anda. Nii et jah, hooldajad ei olnud oma vabatahtlike projektis turvaprobleemide pärast valves. Seega on suur küsimus: kuidas me sattusime olukorda, kus suured ettevõtted sõltusid tarkvarast, mille eest vastutas keegi, kes teeb oma arvete tasumiseks midagi muud?
Tarkvarasõltuvuste tähelepanuta jätmine on riskantne tegevus, olenemata tarkvara litsentsist, kuid kui see on avatud lähtekoodiga ja seda kasutatakse väga laialdaselt, muutub see eriti ohtlikuks. Ühe haavatavuse loo juurde jäämine; probleem oli koodibaasis olnud juba aastaid, kuid seda ei märgatud. Seda tööriista, mida nii laialdaselt kasutati, ei toetatud tegelikult nii laialdaselt – ja mis edasi juhtus, on ajalugu.
See lugu kordub ikka ja jälle nii paljudes ettevõtetes, kellel on kriitilised sõltuvused, kuid mis ei võta meetmeid ei hooldajate ega projektide endi toetamiseks. Ettevõtte kasutatava tarkvara SBOM-i olemasolu tähendab, et neil on teave käepärast. Organisatsioonide jaoks, kes tarnivad tarkvara teistele, on SBOM-i pakkumine koos koodiga üha tavalisem.
Teadke sõltuvusi riskide hindamiseks
Sõltuvuste kohta teadmiste toomine hõlbustab igaühega seotud riskide hindamist. Neid avatud lähtekoodiga projekte on kõige lihtsam hinnata: kas probleemidele on reageeritud ja kas hiljuti on välja antud? Võimalus näha iga projekti hooldajaid ja projektitegevust annab hea ülevaate projekti tervisest.
Ettevõtted saavad riske vähendada, toetades projekte, millest nad sõltuvad. Mõned projektid aktsepteerivad sponsorlust otse GitHubi sponsorite skeemi kaudu, teised võivad selle asemel hinnata hostimispakkumisi või turvaauditit. Iga avatud lähtekoodiga projekt hindab panust. Kui teie ettevõte oleks selle teegi ise loonud, peaksid ettevõtte insenerid iga vea ise parandama.
Avatud lähtekoodiga sarnaneb pigem jagatud omandi skeem. Me kõik ei pea sama asja korduvalt ehitama, vaid pigem saame oma panuse anda, mis on nii väiksem pingutus kui ka tulemuseks parem kvaliteet. Üks mõjukamaid asju, mida ettevõtted saavad teha, on kasutada veidi oma inseneriressursse ja aidata kaasa projektide veaparandustele või funktsioonidele mis on ettevõtte jaoks nii kesksed.
Oma inseneride kaasamine projekti on palju eeliseid. Nad õpivad seda tundma ja saavad uutel funktsioonidel silma peal hoida või kui uus versioon on saadaval. Oluline on see, et ettevõttel on ülevaade sõltuva projekti seisukorrast ja staatusest ning see on osa sellest, mis hoiab seda tervena, vähendades sõltuvusega seotud probleemi riski ettevõttele. Paljudel organisatsioonidel, sealhulgas Aivenil, on OSPO (avatud lähtekoodiga programmibüroo), mille töötajad on pühendunud organisatsiooni kasutatavatesse projektidesse panustamisele või isegi nende ülalpidamisele. Need osakonnad aitavad sageli kaasa ettevõtte üldisele kohalolule avatud lähtekoodiga ökosüsteemis ja võimaldavad teistel töötajatel avatud lähtekoodiga suhelda.
Teine lähenemisviis on toetada avatud lähtekoodiga organisatsioone. The OpenSSF (Open Source Security Foundation) töötab avatud lähtekoodiga projektide turvalisuse parandamiseks ja seda rahastavad organisatsioonid, kes neist projektidest sõltuvad. Samuti avaldab see suurepäraseid õppematerjale, et ettevõtted saaksid end harida kasutatava tarkvara riskide osas. Teine sarnane organisatsioon on Tidellift, mis teeb koostööd hooldajatega, et tagada teatud põhinõuete täitmine, rahastavad jällegi organisatsioonid. Tidelift pakub ka tööriistu ja koolitust, mis aitab ettevõtetel hallata oma tarkvara tarneahelat ja võtta kasutusele selle valdkonna parimad tavad.
Turvalisema tarkvara tuleviku kindlustamine
Ettevõtted sõltuvad tarkvarast ja see hõlmab avatud lähtekoodiga tarkvara, mida kasutatakse laialdaselt ja mis on tavaliselt turvalisem kui patenteeritud alternatiivid.
See on tark samm, kuid veelgi nutikam samm on omada selgeid teadmisi tarkvara tarneahelast ja selle sõltuvustest. Kui probleem tekib, aitab olenevalt tervetest projektidest ja teie tarkvara üksikasjade olemasolust iga organisatsioon. Kui seda teeks iga organisatsioon, väheneks selliste sündmuste, nagu Log4Shelli haavatavus, oht.
