תוכנה היא הליבה של כל העסקים המודרניים והיא חיונית בכל היבט של הפעילות. כמעט כל עסק ישתמש בתוכנת קוד פתוח, ביודעין או אחרת, שכן אפילו תוכנה קניינית תלויה בספריות קוד פתוח. של OpenUK דוח "State of Open" לשנת 2022 מצא כי 89% מהעסקים הסתמכו על תוכנת קוד פתוח, אך לא לכולם ברור את פרטי התוכנה שעליה הם מסתמכים.
עסקים דורשים יותר ויותר מידע על התוכנה קריטית לתפעול שלהם. עסקים אחראיים מגלים עניין מפורט בשרשרת אספקת התוכנה שלהם ויוצרים כתב חומרי תוכנה (SBOM) עבור כל יישום. רמת המידע הזו היא קריטית כדי שכאשר מזוהים פגמי אבטחה בתוכנה שלהם, הם יכולים להיות בטוחים מיד אילו תוכנות וגרסאות נמצאות בשימוש, ואילו מערכות מושפעות. ידע הוא כוח במצבים אלו!
הסתמכות על מתנדבים
בסוף 2021, התקשרה פגיעות אבטחה Log4Shell זוהה במסגרת רישום ג'אווה בשימוש נרחב, Log4j. מכיוון שמדובר בספריית קוד פתוח בשימוש נרחב, הפגיעות הייתה מפורסמת היטב, וצפויים תיקונים. אולם, ה מנהלי הפרויקט היו מתנדבים. היו להם עבודות יום ולא היו בכוננות לתיקוני אבטחה דחופים, גם אם מספר רב של מערכות הושפעו. על פי הערכות, פגיעות זו לבדה השפיעה על 93% מסביבות הענן הארגוניות.
באותה תקופה הייתה עיתונות שלילית על קוד פתוח, אבל האמת היא שאם זה היה רכיב קוד סגור, ייתכן שהפגיעות מעולם לא הייתה ידועה בציבור, מה שמשאיר ארגונים פתוחים לתקיפה. אופי הקוד הפתוח של הספרייה גרם לכך שניתן היה לבדוק אותה, למצוא את הבעיות ולהציע עצות על ידי אחרים. אז, כן, התחזוקים לא היו בכוננות לבעיות אבטחה בפרויקט ההתנדבות שלהם. השאלה הגדולה, אם כן, היא: איך הגענו למצב שבו חברות גדולות היו תלויות בתוכנה שהייתה באחריות של מישהו שעושה משהו אחר כדי לשלם את החשבונות שלהם?
הזנחה של תלות בתוכנה היא עסק מסוכן לא משנה מה הרישיון של התוכנה, אבל כשהיא בקוד פתוח ובשימוש נרחב מאוד, זה הופך למסוכן במיוחד. היצמדות לסיפור של פגיעות אחת; הבעיה הייתה קיימת בבסיס הקוד במשך שנים, אך לא זוהתה. הכלי שהיה בשימוש נרחב כל כך לא קיבל, למעשה, תמיכה כה רחבה - וכן מה שקרה אחר כך הוא היסטוריה.
הסיפור הזה חוזר על עצמו שוב ושוב, בכל כך הרבה עסקים שיש להם תלות קריטית, אבל לא נוקטים בפעולה כדי לתמוך לא במנהלים או בפרויקטים עצמם. SBOM עבור התוכנה המשמשת את העסק אומר שיש להם את המידע בהישג יד. עבור ארגונים המספקים תוכנה לאחרים, הציפייה לספק את ה-SBOM לצד הקוד היא יותר ויותר הנורמה.
לדעת תלות להערכת סיכונים
הבאת ידע על התלות מקלה על הערכת הסיכון הקשור לכל אחת מהן. פרויקטי קוד פתוח אלה הם הפשוטים ביותר להערכה: האם מגיבים לבעיות, והאם היו מהדורות כלשהן לאחרונה? היכולת לראות את המתחזקים ואת פעילות הפרויקט עבור כל פרויקט נותן תובנה טובה לגבי בריאות הפרויקט.
עסקים יכולים למלא את חלקם כדי להפחית את הסיכונים על ידי תמיכה בפרויקטים שבהם הם תלויים. חלק מהפרויקטים מקבלים חסות ישירות דרך ערכת הספונסרים של GitHub, אחרים עשויים להעריך במקום זאת הצעות של אירוח או ביקורת אבטחה. כל פרויקט קוד פתוח מעריך תרומות. אם העסק שלך היה יוצר את הספרייה הזו בעצמו, אז המהנדסים בחברה היו צריכים לתקן כל באג בעצמם.
קוד פתוח דומה יותר לתכנית בעלות משותפת. לא כולנו צריכים לבנות את אותו הדבר שוב ושוב, אלא יכולים לתרום, וזה גם פחות מאמץ וגם מוביל לאיכות טובה יותר כתוצאה מכך. אחד הדברים המשפיעים ביותר שעסקים יכולים לעשות הוא להשתמש במעט ממשאבי ההנדסה שלהם לתרום לתיקוני באגים או תכונות לפרויקטים שהם כל כך הליבה לעסק.
שמירה על המהנדסים שלך מעורבים בפרויקט בעל יתרונות רבים. הם מכירים את זה ויכולים לפקוח עין על תכונות חדשות, או כאשר מהדורה חדשה זמינה. באופן מכריע, לעסק יש תובנה לגבי הבריאות והסטטוס של הפרויקט התלוי והוא חלק ממה ששומר עליו בריא, ומפחית את הסיכון לעסק של בעיה עם תלות. למספר ארגונים, כולל Aiven, יש OSPO (משרד תוכניות קוד פתוח), עם צוות המוקדש לתרום או אפילו לתחזק את הפרויקטים שבהם משתמש הארגון. מחלקות אלו תורמות לעיתים קרובות לנוכחות הכללית של החברה באקוסיסטם של הקוד הפתוח ומאפשרות לעובדים אחרים לעסוק בקוד פתוח.
גישה נוספת היא לתמוך בארגונים הקיימים כדי לתמוך בקוד פתוח. ה OpenSSF (קרן אבטחת קוד פתוח) פועל לשיפור האבטחה של פרויקטים בקוד פתוח וממומן על ידי הארגונים התלויים באותם פרויקטים. הוא גם מפרסם משאבי למידה מצוינים כדי שעסקים יוכלו לחנך את עצמם לגבי הסיכונים של התוכנה שבה הם משתמשים. עוד ארגון דומה הוא טידליפט, אשר משתפת פעולה עם מתחזקים כדי להבטיח שדרישות בסיסיות מסוימות מתקיימות, שוב במימון הארגונים. Tidelift מספקת גם כלים וחינוך כדי לעזור לעסקים לנהל את שרשרת אספקת התוכנה שלהם ולאמץ שיטות עבודה מומלצות בתחום זה.
הבטחת עתיד תוכנה בטוח יותר
עסקים תלויים בתוכנה, וזה כולל תוכנת קוד פתוח, שנמצאת בשימוש נרחב ובדרך כלל מאובטחת יותר מחלופות קנייניות.
זהו מהלך חכם, אך מהלך חכם עוד יותר הוא ידע ברור על שרשרת אספקת התוכנה והתלות בה. כאשר אכן מתעוררת בעיה, התלות בפרויקטים בריאים ופרטי התוכנה שלך זמינים עוזרת לכל ארגון. אם כל ארגון עשה זאת, הסיכון לאירועים כגון פגיעות Log4Shell מצטמצם.
