Vulnerabilitățile componentelor open source – cum ar fi defectele larg răspândite dezvăluite acum 10 luni în Log4j 2.0 – i-au forțat pe oamenii de știință de date să reevalueze codul open source utilizat frecvent în analiză și crearea de modele de învățare automată.
Potrivit unui raport al Anaconda, o firmă de platforme de știință a datelor, în ultimul an, 40% dintre oamenii de știință de date, analiștii de afaceri și studenții intervievați și-au redus utilizarea componentelor open source, în timp ce o treime a rămas constant și doar 7 % au încorporat mai mult cod sursă deschisă în proiectele lor. Majoritatea celor chestionați nu raportează la departamentul de tehnologie a informației (18%), ci lucrează în cadrul propriului grup de știință a datelor sau de cercetare și dezvoltare (47%), potrivit Anaconda.Starea științei datelor în 2022” raport, lansat săptămâna trecută.
În timp ce dezvoltatorii de software și IT-ul au început deja să verifice codul securizat, preocupările legate de securitatea în software-ul open source reprezintă o tendință relativ nouă pentru lumea științei datelor, spune Peter Wang, co-fondator și CEO al Anaconda.
„Vedem o parte uriașă de oameni care se află în organizații în care IT-ul a creat o poziție foarte strictă în jurul open source și Python”, spune el. „Aceștia nu sunt dezvoltatori experți. … Ei sunt oameni de știință ai datelor și oameni de învățare automată care s-ar putea să nu fie deloc dezvoltatori experimentați, folosind tot ce puteau descărca pentru a-și face analiza și apoi au predat asta IT-ului.”
Securitatea componentelor open source - și lanțul de aprovizionare software, în general - a devenit o considerație principală în rândul dezvoltatorilor de software, întreprinderilor și guvernelor naționale în ultimii doi ani. În mai, de exemplu, Institutul Național de Standarde și Tehnologie din SUA (NIST) a emis ghiduri pentru abordarea riscurilor lanțului de aprovizionare cu software. În plus, un număr tot mai mare de furnizori de software s-au alăturat Fundației Linux Open Software Security Foundation (OpenSSF).
În general, maturitatea eforturilor de securitate ale organizațiilor s-a îmbunătățit. Aproximativ jumătate dintre firme au o politică de securitate open source, ceea ce duce la o performanță mai bună în măsurile de pregătire a securității, conform sondajului din iunie. În plus, eforturile de a controla riscul open source au crescut cu 51% în ultimele 12 luni, a declarat un studiu al maturității securității pe sept. 21.
„Cu atenția acordată lanțurilor de aprovizionare cu software, majoritatea organizațiilor de întreprindere adoptă o abordare bazată pe risc pentru securitatea aplicațiilor”, a declarat Jason Schmitt, director general al Synopsys Software Integrity Group, într-o declarație care anunță studiul. „O astfel de abordare recunoaște că securitatea nu se limitează la baza de cod; include procesul de dezvoltare a software-ului în care evaluările și testele de securitate „se schimbă peste tot” pentru a îmbunătăți continuu rezultatele în materie de securitate.”
Dezvoltatorii extind utilizarea sursei deschise
Companiile de software nu înregistrează nicio scădere a utilizării open source, potrivit altor date. În schimb, organizațiile de dezvoltare se concentrează pe îmbunătățirea securității software-ului open source și pe utilizarea securității ca ghid principal în selectarea componentelor.
În "Starea lanțului de aprovizionare software în 2021” Raportul, de exemplu, Sonatype a constatat că primele patru ecosisteme open source — Maven Central Repository (Java), Node.js (JavaScript), Python Package Index (Python) și galeria NuGet (.NET) — adăpostesc 37 de milioane proiecte și componente open source, o creștere de 20% de la an la an. Cererea pentru aceste componente este, de asemenea, în creștere: au fost descărcate peste 2.2 trilioane de componente, o creștere anuală de 73%.
O îndepărtare auto-raportată de către comunitatea științei datelor de la pachetele open source este probabil un indiciu al unei mai mari conștientizări a problemelor de securitate și mai puțin cu privire la abandonarea componentelor open source în dezvoltare, spune Tracy Miranda, șeful departamentului open source la Chainguard.
În timp ce echipele de știință a datelor și echipele de dezvoltare ar fi putut reacționa diferit la problemele majore de securitate - cum ar fi Log4j 2.0 — companiile au mai puține posibilități atunci când se îndepărtează de la un pachet open source decât să adopte un alt pachet ai cărui menținători au pus un accent mai mare pe securitate, spune ea.
„Companiile folosesc sursa deschisă ca o modalitate de a-și crește viteza, așa că dacă își reduc înapoi, la ce se reduc? Scrieți codul intern? Folosești versiuni terță parte împachetate?” Miranda spune, adăugând că, în schimb, „Cred că ne putem aștepta să vedem companiile mai exigente în ceea ce privește calitatea sursei deschise pe care le folosesc, în special în ceea ce privește caracteristicile de securitate”.
Oamenii de știință de date se joacă de-a prinde din urmă
Deconectarea dintre cele două părți se datorează probabil audiențelor diferite din diversele sondaje. Sondajul Anaconda s-a concentrat pe profesioniștii în știința datelor, așa cum se poate observa din alegerea limbajelor de programare de către respondenți – 58% au folosit Python și 42% au folosit SQL, în timp ce doar 26% au folosit JavaScript.
O măsură mai bună a sentimentelor dezvoltatorilor de software este StackOverflow „2022 Sondaj pentru dezvoltatori”, care a constatat că, în timp ce 58% dintre „oamenii care învață să codeze” folosesc Python, doar 44% dintre dezvoltatorii profesioniști codifică în limba respectivă. Pe de altă parte, 68% dintre dezvoltatorii profesioniști folosesc JavaScript, conform sondajului StackOverflow.
În plus, în timp ce profesioniștii în știința datelor lucrează la companii care în mod covârșitor (87%) permit software-ul open-source, aproximativ un sfert (26%) au o supraveghere minimă de către departamentul IT asupra opțiunilor lor open source, se arată în raportul Anaconda. În alte 18% dintre companii, departamentul IT specifică doar aproximativ jumătate din componentele open source disponibile.
Susținătorii celor mai critice proiecte – dintre care sunt sute, dacă nu mii – trebuie să folosească dependențe securizate, să-și testeze propriul cod și să valideze credibilitatea contribuitorilor. De asemenea, întreținerii ar trebui să publice un punctaj de securitate — o inițiativă creată de Google, gestionată acum de Open Source Security Foundation (OpenSSF), care acordă un grad de securitate unui proiect pe baza a aproape 20 de criterii diferite.
În timp ce gradul de conștientizare este probabil în creștere, nu există o soluție rapidă, spune Miranda.
„Realitatea este că opțiunile mai sigure nu au existat anterior”, spune ea. „Tăierea dependențelor inutile pentru a reduce suprafața de atac este sensibilă, dar este greu de făcut odată ce arborele de dependență a crescut.”
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
