מדעני נתונים לחייג חזרה שימוש בקוד קוד פתוח עקב דאגות אבטחה PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

מדעני נתונים חוזרים לשימוש בקוד קוד פתוח עקב דאגות אבטחה

חותמת זמן: 21 בספטמבר 2022 2:00

פגיעויות ברכיבי קוד פתוח - כמו הפגמים הנרחבים שנחשפו לפני 10 חודשים ב-Log4j 2.0 - אילצו את מדעני הנתונים להעריך מחדש את קוד הקוד הפתוח המשמש לעתים קרובות בניתוח וביצירת מודלים של למידת מכונה.

לפי דו"ח של Anaconda, חברת פלטפורמת מדעי נתונים, בשנה האחרונה, 40% מדעני הנתונים, האנליסטים העסקיים והסטודנטים הפחיתו את השימוש שלהם ברכיבי קוד פתוח, בעוד שליש נשאר יציב, ורק 7 % שילבו יותר קוד מקור פתוח בפרויקטים שלהם. רוב הנסקרים אינם מדווחים למחלקת טכנולוגיית המידע (18%), אלא עובדים במסגרת קבוצת מדעי הנתונים או מחקר ופיתוח משלהם (47%), על פי דיווח של אנקונדה.מצב מדעי הנתונים לשנת 2022" דו"ח, שפורסם בשבוע שעבר.

בעוד שמפתחי תוכנה ו-IT כבר החלו לבדוק קוד מאובטח, החששות לגבי האבטחה בתוכנת קוד פתוח הם מגמה חדשה יחסית לעולם מדעי הנתונים, אומר פיטר וואנג, מייסד שותף ומנכ"ל אנקונדה.

"אנחנו רואים חלק אדיר של אנשים שנמצאים בארגונים שבהם ה-IT יצר עמדה קפדנית מאוד סביב קוד פתוח ופייתון", הוא אומר. "אלה לא מפתחים מומחים. ... הם מדעני נתונים ואנשי למידת מכונה שאולי הם לא מפתחים ותיקים בכלל, משתמשים בכל מה שהם יכולים להוריד כדי לבצע את הניתוח שלהם, ואז הם העבירו את זה ל-IT."

האבטחה של רכיבי קוד פתוח - ושרשרת אספקת התוכנה, בכלל - הפכה לשיקול עיקרי בקרב מפתחי תוכנה, עסקים וממשלות לאומיות במהלך השנתיים האחרונות. במאי, למשל, המכון הלאומי לתקנים וטכנולוגיה בארה"ב (NIST) הוציא הנחיות לטיפול בסיכוני שרשרת אספקת התוכנה. בנוסף, מספר הולך וגדל של ספקי תוכנה הצטרפו ל-Open Software Security Foundation של קרן לינוקס (OpenSSF).

בעוד צוותי מדעי נתונים רבים סורקים רכיבי קוד פתוח לאיתור נקודות תורפה, רבים יוצרים תוכנה משלהם במקום זאת. מקור: דו"ח "2022 State of Data Science" של Anaconda.

בסך הכל, הבשלות של מאמצי האבטחה של ארגונים השתפרה. לכמחצית מהחברות יש מדיניות אבטחה בקוד פתוח, שמובילה לביצועים טובים יותר במדדים של מוכנות אבטחה, על פי הסקר של יוני. בנוסף, המאמצים לשלוט בסיכון בקוד פתוח זינקו ב-51% ב-12 החודשים האחרונים, מחקר על בגרות ביטחונית קבע ב- 21 בספטמבר.

"עם תשומת הלב המופנית לשרשראות אספקת תוכנה, רוב הארגונים הארגוניים נוקטים בגישה מבוססת סיכונים לאבטחת יישומים", אמר ג'ייסון שמיט, המנהל הכללי של Synopsys Software Integrity Group, בהצהרה שהכריזה על המחקר. "גישה כזו מכירה בכך שהאבטחה אינה מוגבלת לבסיס הקוד; הוא כולל תהליך של פיתוח תוכנה שבו סקירות ובדיקות אבטחה 'משתנות לכל מקום' כדי לשפר ללא הרף את תוצאות האבטחה".

Devs מרחיבים את השימוש בקוד פתוח 

חברות תוכנה אינן רואות ירידה כלשהי בשימוש בקוד פתוח, על פי נתונים אחרים. במקום זאת, ארגוני פיתוח מתמקדים בשיפור האבטחה של תוכנות קוד פתוח ושימוש באבטחה כמדריך ראשי בבחירת רכיבים.

בתוך ה "2021 מצב שרשרת אספקת התוכנה" דו"ח, למשל, Sonatype מצא כי ארבעת המערכות האקולוגיות המובילות בקוד פתוח - המאגר המרכזי של Maven (Java), Node.js (JavaScript), אינדקס החבילות של Python (Python) וגלריית NuGet (.NET) - אכסנו 37 מיליון פרויקטים ורכיבי קוד פתוח, עלייה של 20% משנה לשנה. הביקוש לרכיבים אלה גדל גם הוא: יותר מ-2.2 טריליון רכיבים הורדו, עלייה שנתית של 73%.

דיווח עצמי על התרחקות מחבילות קוד פתוח על ידי קהילת מדעי הנתונים מעיד ככל הנראה על מודעות רבה יותר לבעיות אבטחה ופחות על פינוי רכיבי קוד פתוח בפיתוח, אומרת טרייסי מירנדה, ראש תחום קוד פתוח ב-Chainguard.

בעוד שצוותי מדעי הנתונים וצוותי הפיתוח עשויים להגיב אחרת לבעיות אבטחה מרכזיות - כגון Log4j 2.0 - לחברות יש מנוס מועט כשהן מתרחקות מחבילת קוד פתוח אחת מאשר לאמץ חבילה אחרת שמנהליה שמו דגש גדול יותר על אבטחה, היא אומרת.

"חברות ממנפות את הקוד הפתוח כדרך להגביר את המהירות שלהן, אז אם הן מצטמצמות, למה הן מתרחקות? כותבים קוד בבית? משתמש בגרסאות צד שלישי ארוזות?" מירנדה אומרת, ומוסיפה כי במקום זאת, "אני כן חושב שאנחנו יכולים לצפות לראות חברות חושפות יותר את איכות הקוד הפתוח שהן משתמשות בהן, במיוחד הקשורות לתכונות אבטחה."

מדעני נתונים משחקים בדירוג

הנתק בין שני הצדדים נובע ככל הנראה מהקהלים השונים בסקרים השונים. הסקר של אנקונדה התמקד באנשי מקצוע בתחום מדעי הנתונים, כפי שניתן לראות מבחירת שפות התכנות של המשיבים - 58% השתמשו ב-Python ו-42% השתמשו ב-SQL, בעוד שרק 26% השתמשו ב-JavaScript. 

מדד טוב יותר לרגשות מפתחי תוכנה הוא " של StackOverflowסקר מפתחים 2022," שמצא כי בעוד ש-58% מ'אנשים שלומדים קוד' משתמשים ב-Python, רק 44% מהמפתחים המקצועיים מקודדים בשפה זו. מצד שני, 68% מהמפתחים המקצועיים משתמשים ב-JavaScript, לפי הסקר של StackOverflow.

בנוסף, בעוד שעובדים מקצועיים בתחום מדעי הנתונים בחברות שמאפשרות ברובן המכריע (87%) תוכנות קוד פתוח, לכרבע (26%) יש פיקוח מינימלי של מחלקת ה-IT על אפשרויות הקוד הפתוח שלהן, נכתב בדו"ח אנקונדה. בעוד 18% מהחברות, מחלקת ה-IT מציינת רק כמחצית מרכיבי הקוד הפתוח הזמינים.

המתחזקים של הפרויקטים הקריטיים ביותר - מהם יש מאות, אם לא אלפים - צריכים להשתמש בתלות מאובטחת, לבדוק את הקוד שלהם ולאמת את מהימנות התורמים. על המתחזקים גם לפרסם כרטיס ניקוד אבטחה - יוזמה שנוצרה על ידי Google המנוהלת כעת על ידי קרן האבטחה בקוד פתוח (OpenSSF), המעניק ציון אבטחה לפרויקט המבוסס על כמעט 20 קריטריונים שונים.

בעוד שסביר להניח שהמודעות גוברת, אין פתרון מהיר, אומרת מירנדה.

"המציאות היא שהאפשרויות היותר מאובטחות לא היו קיימות בעבר", היא אומרת. "חיתוך תלות מיותרת כדי לצמצם את משטח ההתקפה הוא הגיוני, אבל זה קשה לעשות ברגע שעץ התלות גדל."

בול זמן:

עוד מ קריאה אפלה