ओपन सोर्स घटकों में कमजोरियाँ - जैसे कि 10 महीने पहले Log4j 2.0 में सामने आई व्यापक खामियाँ - ने डेटा वैज्ञानिकों को विश्लेषण और मशीन लर्निंग मॉडल के निर्माण में अक्सर उपयोग किए जाने वाले ओपन सोर्स कोड का पुनर्मूल्यांकन करने के लिए मजबूर किया है।
डेटा-साइंस प्लेटफ़ॉर्म फर्म एनाकोंडा की एक रिपोर्ट के अनुसार, पिछले वर्ष सर्वेक्षण में शामिल 40% डेटा वैज्ञानिकों, व्यवसाय विश्लेषकों और छात्रों ने ओपन सोर्स घटकों का उपयोग कम कर दिया है, जबकि एक तिहाई स्थिर रहे, और केवल 7 % ने अपनी परियोजनाओं में अधिक ओपन सोर्स कोड शामिल किया। एनाकोंडा के अनुसार, सर्वेक्षण में शामिल अधिकांश लोग सूचना प्रौद्योगिकी विभाग (18%) को रिपोर्ट नहीं करते हैं, लेकिन अपने स्वयं के डेटा विज्ञान या अनुसंधान और विकास समूह (47%) के भीतर काम करते हैं।2022 डेटा विज्ञान की स्थिति” रिपोर्ट, पिछले सप्ताह जारी की गई।
एनाकोंडा के सह-संस्थापक और सीईओ पीटर वांग कहते हैं, जबकि सॉफ्टवेयर डेवलपर्स और आईटी ने पहले ही सुरक्षित कोड की जांच शुरू कर दी है, ओपन सोर्स सॉफ्टवेयर में सुरक्षा को लेकर चिंताएं डेटा विज्ञान की दुनिया के लिए एक अपेक्षाकृत नया चलन है।
"हम ऐसे लोगों का एक बड़ा हिस्सा देखते हैं जो ऐसे संगठनों में हैं जहां आईटी ने ओपन सोर्स और पायथन के आसपास एक बहुत ही सख्त रुख बनाया है," वे कहते हैं। “ये विशेषज्ञ डेवलपर नहीं हैं। ... वे डेटा वैज्ञानिक और मशीन सीखने वाले लोग हैं जो बहुत अनुभवी डेवलपर नहीं हो सकते हैं, जो कुछ भी डाउनलोड कर सकते हैं उसका उपयोग अपने विश्लेषण करने के लिए करते हैं, और फिर उन्होंने उसे आईटी को सौंप दिया।
ओपन सोर्स घटकों की सुरक्षा - और सामान्य तौर पर सॉफ्टवेयर आपूर्ति श्रृंखला - पिछले दो वर्षों में सॉफ्टवेयर डेवलपर्स, व्यवसायों और राष्ट्रीय सरकारों के बीच एक प्राथमिक विचार बन गई है। उदाहरण के लिए, मई में, यूएस नेशनल इंस्टीट्यूट ऑफ स्टैंडर्ड्स एंड टेक्नोलॉजी (एनआईएसटी) एड्रेस सॉफ़्टवेयर आपूर्ति श्रृंखला जोखिमों के लिए दिशानिर्देश जारी किए गए. इसके अलावा, सॉफ्टवेयर विक्रेताओं की संख्या भी बढ़ रही है लिनक्स फाउंडेशन के ओपन सॉफ्टवेयर सिक्योरिटी फाउंडेशन (ओपनएसएसएफ) के साथ जुड़ गए हैं.
कुल मिलाकर, संगठनों के सुरक्षा प्रयासों की परिपक्वता में सुधार हुआ है। लगभग आधी कंपनियों के पास ओपन सोर्स सुरक्षा नीति है, जिससे सुरक्षा तत्परता के उपायों में बेहतर प्रदर्शन होता है, जून सर्वेक्षण के अनुसार. इसके अलावा, पिछले 51 महीनों में ओपन सोर्स जोखिम को नियंत्रित करने के प्रयासों में 12% की वृद्धि हुई है। सुरक्षा परिपक्वता के एक अध्ययन में कहा गया है सितंबर 21 पर
सिनोप्सिस सॉफ्टवेयर इंटीग्रिटी ग्रुप के महाप्रबंधक जेसन श्मिट ने अध्ययन की घोषणा करते हुए एक बयान में कहा, "सॉफ्टवेयर आपूर्ति श्रृंखलाओं पर ध्यान दिए जाने के साथ, अधिकांश उद्यम संगठन एप्लिकेशन सुरक्षा के लिए जोखिम-आधारित दृष्टिकोण अपना रहे हैं।" “ऐसा दृष्टिकोण मानता है कि सुरक्षा कोडबेस तक सीमित नहीं है; इसमें सॉफ्टवेयर विकास की प्रक्रिया शामिल है जहां सुरक्षा परिणामों में लगातार सुधार के लिए सुरक्षा समीक्षा और परीक्षण 'हर जगह बदलाव' होता है।
डेवलपर्स ने ओपन सोर्स के उपयोग का विस्तार किया
अन्य आंकड़ों के अनुसार सॉफ्टवेयर कंपनियों को ओपन सोर्स के उपयोग में किसी प्रकार की कमी नहीं दिख रही है। इसके बजाय, विकास संगठन ओपन सोर्स सॉफ़्टवेयर की सुरक्षा में सुधार करने और घटकों के चयन में प्राथमिक मार्गदर्शिका के रूप में सुरक्षा का उपयोग करने पर ध्यान केंद्रित कर रहे हैं।
में "2021 सॉफ्टवेयर आपूर्ति श्रृंखला की स्थिति” उदाहरण के लिए, सोनाटाइप की रिपोर्ट में पाया गया कि शीर्ष चार ओपन सोर्स इकोसिस्टम - मेवेन सेंट्रल रिपोजिटरी (जावा), नोड.जेएस (जावास्क्रिप्ट), पायथन पैकेज इंडेक्स (पायथन), और नुगेट गैलरी (.NET) - में 37 मिलियन लोग रहते हैं। ओपन सोर्स प्रोजेक्ट्स और घटकों में साल-दर-साल 20% की वृद्धि हुई है। उन घटकों की मांग भी इसी तरह बढ़ रही है: 2.2 ट्रिलियन से अधिक घटक डाउनलोड किए गए, जो कि 73% वार्षिक वृद्धि है।
चैनगार्ड में ओपन सोर्स के प्रमुख ट्रेसी मिरांडा का कहना है कि डेटा विज्ञान समुदाय द्वारा ओपन सोर्स पैकेजों से स्वयं-रिपोर्ट किया गया कदम सुरक्षा मुद्दों के बारे में अधिक जागरूकता और विकास में ओपन सोर्स घटकों को कम करने के बारे में कम जागरूकता का संकेत है।
हालाँकि डेटा विज्ञान टीमों और विकास टीमों ने प्रमुख सुरक्षा मुद्दों पर अलग-अलग प्रतिक्रिया व्यक्त की होगी - जैसे कि Log4j 2.0 - वह कहती हैं कि एक ओपन सोर्स पैकेज से दूर जाने पर कंपनियों के पास एक अलग पैकेज अपनाने की तुलना में बहुत कम विकल्प होते हैं, जिनके रखरखाव करने वालों ने सुरक्षा पर अधिक जोर दिया है।
“कंपनियां अपने वेग को बढ़ाने के लिए ओपन सोर्स का लाभ उठाती हैं, इसलिए यदि वे वापस स्केलिंग कर रहे हैं, तो वे किस ओर स्केलिंग कर रहे हैं? इन-हाउस कोड लिखना? पैक किए गए तृतीय-पक्ष संस्करण का उपयोग कर रहे हैं? मिरांडा कहते हैं, इसके बजाय, "मुझे लगता है कि हम उम्मीद कर सकते हैं कि कंपनियां अपने द्वारा उपयोग किए जाने वाले खुले स्रोत की गुणवत्ता के बारे में अधिक समझदार होंगी, खासकर सुरक्षा सुविधाओं से संबंधित।"
डेटा वैज्ञानिक कैच-अप खेल रहे हैं
विभिन्न सर्वेक्षणों में अलग-अलग दर्शकों के कारण दोनों पक्षों के बीच अलगाव की संभावना है। एनाकोंडा का सर्वेक्षण डेटा विज्ञान पेशेवरों पर केंद्रित है, जैसा कि उनके उत्तरदाताओं की प्रोग्रामिंग भाषाओं की पसंद से देखा जा सकता है - 58% ने पायथन का इस्तेमाल किया और 42% ने एसक्यूएल का इस्तेमाल किया, जबकि केवल 26% ने जावास्क्रिप्ट का इस्तेमाल किया।
सॉफ़्टवेयर डेवलपर भावनाओं का एक बेहतर माप StackOverflow का है "2022 डेवलपर सर्वेक्षण, जिसमें पाया गया कि जहां 58% 'कोड सीखना' लोग पायथन का उपयोग करते हैं, वहीं केवल 44% पेशेवर डेवलपर्स उस भाषा में कोड करते हैं। दूसरी ओर, StackOverflow के सर्वेक्षण के अनुसार, 68% पेशेवर डेवलपर्स जावास्क्रिप्ट का उपयोग करते हैं।
इसके अलावा, जबकि डेटा विज्ञान पेशेवर उन कंपनियों में काम करते हैं जो भारी मात्रा में (87%) ओपन-सोर्स सॉफ़्टवेयर की अनुमति देते हैं, लगभग एक चौथाई (26%) को आईटी विभाग द्वारा उनके ओपन सोर्स विकल्पों की न्यूनतम निगरानी होती है, एनाकोंडा रिपोर्ट में कहा गया है। अन्य 18% कंपनियों में, आईटी विभाग उपलब्ध ओपन सोर्स घटकों में से केवल आधे को ही निर्दिष्ट करता है।
सबसे महत्वपूर्ण परियोजनाओं के अनुरक्षक - जिनमें हजारों नहीं तो सैकड़ों हैं - को सुरक्षित निर्भरता का उपयोग करने, अपने स्वयं के कोड का परीक्षण करने और योगदानकर्ताओं की विश्वसनीयता को मान्य करने की आवश्यकता है। अनुरक्षकों को एक सुरक्षा स्कोरकार्ड भी प्रकाशित करना चाहिए - Google द्वारा निर्मित एक पहल जिसे अब ओपन सोर्स सिक्योरिटी फाउंडेशन (OpenSSF) द्वारा प्रबंधित किया जाता है, जो लगभग 20 विभिन्न मानदंडों के आधार पर किसी प्रोजेक्ट को सुरक्षा ग्रेड देता है।
हालांकि जागरूकता बढ़ने की संभावना है, लेकिन कोई त्वरित समाधान नहीं है, मिरांडा का कहना है।
वह कहती हैं, "वास्तविकता यह है कि अधिक सुरक्षित विकल्प पहले मौजूद नहीं थे।" "हमले की सतह को कम करने के लिए अनावश्यक निर्भरता को कम करना समझदारी है, लेकिन निर्भरता का पेड़ बड़ा हो जाने के बाद ऐसा करना कठिन है।"
