A nyílt forráskódú összetevők sérülékenységei – például a 10 hónappal ezelőtt a Log4j 2.0-ban feltárt széles körben elterjedt hibák – arra kényszerítették az adatkutatókat, hogy újraértékeljék az elemzésekben és a gépi tanulási modellek létrehozásában gyakran használt nyílt forráskódot.
According to a report by Anaconda, a data-science platform firm, in the past year, 40% of surveyed data scientists, business analysts, and students have scaled back their use of open source components, while a third remained steady, and only 7% incorporated more open source code into their projects. The majority of those surveyed do not report to the information technology department (18%), but work within their own data science or research and development group (47%), according to Anaconda’s “2022 State of Data Science” múlt héten közzétett jelentés.
Míg a szoftverfejlesztők és az informatika már megkezdte a biztonságos kód ellenőrzését, a nyílt forráskódú szoftverek biztonságával kapcsolatos aggodalmak viszonylag új trendet jelentenek az adattudományi világban – mondja Peter Wang, az Anaconda társalapítója és vezérigazgatója.
“We see a tremendous portion of people who are at organizations where IT has created a very strict posture around open source and Python,” he says. “These are not expert developers. … They are data scientists and machine learning people who may not be very seasoned developers at all, using whatever they could download to do their analysis, and then they handed that over that to IT.”
A nyílt forráskódú összetevők – és általában a szoftverellátási lánc – biztonsága az elmúlt két évben elsődleges szempont lett a szoftverfejlesztők, a vállalkozások és a nemzeti kormányok körében. Májusban például az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete (NIST) útmutatót adott ki a szoftverellátási lánc kockázatainak kezelésére. Ezen túlmenően, egyre több szoftvergyártó have joined with the Linux Foundation’s Open Software Security Foundation (OpenSSF).
Overall, the maturity of organizations’ security efforts has improved. About half of firms have an open source security policy in place, which leads to better performance in measures of security readiness, a júniusi felmérés szerint. Ezenkívül a nyílt forráskódú kockázatok ellenőrzésére irányuló erőfeszítések 51%-kal ugrottak meg az elmúlt 12 hónapban, a biztonsági érettségről szóló tanulmány megállapította szeptember 21.
“[W]ith the attention placed on software supply chains, most enterprise organizations are taking a risk-based approach to application security,” Jason Schmitt, general manager of the Synopsys Software Integrity Group, said in a statement announcing the study. “Such an approach recognizes that security isn’t limited to the codebase; it includes the process of software development where security reviews and testing ‘shift everywhere’ to continuously improve security outcomes.”
A fejlesztők kiterjesztik a nyílt forráskód használatát
Más adatok szerint a szoftvercégek nem tapasztalnak semmiféle csökkenést a nyílt forráskód használatában. Ehelyett a fejlesztő szervezetek a nyílt forráskódú szoftverek biztonságának javítására összpontosítanak, és a biztonságot használják elsődleges útmutatóként az összetevők kiválasztásánál.
Ban,-ben "2021 State of the Software Supply Chain” A jelentésben például a Sonatype megállapította, hogy a négy legjobb nyílt forráskódú ökoszisztéma – a Maven Central Repository (Java), a Node.js (JavaScript), a Python Package Index (Python) és a NuGet galéria (.NET) – 37 millió embernek ad otthont. nyílt forráskódú projektek és összetevők, ami 20%-os növekedést jelent az előző évhez képest. Az ilyen komponensek iránti kereslet is növekszik: több mint 2.2 billió komponenst töltöttek le, ami 73%-os éves növekedés.
Tracy Miranda, a Chainguard nyílt forráskódú részlegének vezetője szerint, ha az adattudományi közösség saját bevallása szerint eltávolodik a nyílt forráskódú csomagoktól, az valószínűleg azt jelzi, hogy nagyobb a tudatosság a biztonsági problémákkal kapcsolatban, és kevesebbet kell elhagyni a nyílt forráskódú összetevőket a fejlesztés során.
Míg az adattudományi csapatok és a fejlesztőcsapatok eltérően reagálhattak a fő biztonsági problémákra – mint például a Log4j 2.0 – A vállalatoknak nem sok lehetőségük van egy nyílt forráskódú csomagtól való elszakadáshoz, mint egy másik csomag elfogadásához, amelynek karbantartói nagyobb hangsúlyt fektetnek a biztonságra – mondja.
“Companies leverage open source as a way to increase their velocity so if they are scaling back, what are they scaling back to? Writing code in-house? Using third-party versions packaged up?” Miranda says, adding that instead, “I do think we can expect to see companies be more discerning about the quality of the open source they use, especially related to security features.”
Az adattudósok felzárkóznak
The disconnect between the two sides is likely due to the different audiences in the various surveys. Anaconda’s survey focused on data science professionals, as can be seen from their respondent’s choice of programming languages — 58% used Python and 42% used SQL, while only 26% used JavaScript.
A better measure of software developer sentiments is StackOverflow’s “2022 -es fejlesztői felmérés,” which found that while 58% of ‘people learning to code’ use Python, only 44% of professional developers code in that language. On the other hand, 68% of professional developers use JavaScript, according to StackOverflow’s survey.
Ezen túlmenően, míg az adattudományi szakemberek túlnyomórészt (87%) a nyílt forráskódú szoftvereket engedélyező vállalatoknál dolgoznak, körülbelül egynegyedük (26%) minimálisan felügyeli a nyílt forráskódú választásait az IT-részleg – áll az Anaconda jelentésében. A cégek további 18%-ában az informatikai részleg az elérhető nyílt forráskódú komponensek körülbelül felét határozza meg.
A legkritikusabb projektek karbantartóinak – amelyekből több száz, ha nem több ezer van – biztonságos függőséget kell használniuk, saját kódjukat tesztelniük kell, és ellenőrizniük kell a közreműködők megbízhatóságát. A fenntartóknak biztonsági eredménymutatót is közzé kell tenniük – a Google által létrehozott kezdeményezés, amelyet most az Open Source Security Foundation (OpenSSF) kezel, amely közel 20 különböző szempont alapján ad biztonsági fokozatot egy projektnek.
Bár a tudatosság valószínűleg növekszik, nincs gyors megoldás, mondja Miranda.
“The reality is that the more secure options have not previously existed,” she says. “Trimming unnecessary dependencies to reduce attack surface is sensible, but it’s hard to do once the dependency tree has grown large.”
