Podatkovni znanstveniki zaradi skrbi za varnost zavračajo uporabo odprtokodne kode

Ranljivosti v odprtokodnih komponentah – kot so široko razširjene napake, razkrite pred 10 meseci v Log4j 2.0 – so prisilile podatkovne znanstvenike, da ponovno ocenijo odprtokodno kodo, ki se pogosto uporablja pri analizi in ustvarjanju modelov strojnega učenja.

Po poročilu podjetja Anaconda, ki se ukvarja s platformo za podatkovno znanost, je v zadnjem letu 40 % anketiranih podatkovnih znanstvenikov, poslovnih analitikov in študentov zmanjšalo uporabo odprtokodnih komponent, medtem ko jih je tretjina ostala nespremenjena in le 7 % je v svoje projekte vključilo več odprtokodne kode. Večina anketirancev ni prijavljenih oddelku za informacijsko tehnologijo (18 %), ampak delajo v okviru lastne podatkovne znanosti ali skupine za raziskave in razvoj (47 %), poroča Anacondin “2022 Stanje podatkovne znanosti” poročilo, objavljeno prejšnji teden.

Čeprav so razvijalci programske opreme in IT že začeli preverjati varno kodo, so pomisleki glede varnosti odprtokodne programske opreme razmeroma nov trend v svetu podatkovne znanosti, pravi Peter Wang, soustanovitelj in izvršni direktor Anaconde.

»Vidimo, da je ogromen del ljudi v organizacijah, kjer je IT ustvaril zelo strogo držo glede odprte kode in Pythona,« pravi. »To niso strokovni razvijalci. ... So podatkovni znanstveniki in ljudje s strojnim učenjem, ki morda sploh niso zelo izkušeni razvijalci, za analizo uporabljajo vse, kar so lahko prenesli, nato pa so to predali IT-ju.«

Varnost odprtokodnih komponent – ​​in dobavne verige programske opreme na splošno – je v zadnjih dveh letih postala glavna skrb razvijalcev programske opreme, podjetij in nacionalnih vlad. Maja je na primer ameriški nacionalni inštitut za standarde in tehnologijo (NIST) izdal smernice za obravnavanje tveganj dobavne verige programske opreme. Poleg tega narašča število prodajalcev programske opreme so se pridružili fundaciji Linux Foundation Open Software Security Foundation (OpenSSF).

Na splošno se je zrelost varnostnih prizadevanj organizacij izboljšala. Približno polovica podjetij ima vzpostavljeno odprtokodno varnostno politiko, ki vodi k boljši uspešnosti ukrepov varnostne pripravljenosti, po junijski raziskavi. Poleg tega so prizadevanja za nadzor odprtokodnega tveganja v zadnjih 51 mesecih poskočila za 12 %, študija o zrelosti varnosti je navedeno na september 21.

»[Z]a pozornost, ki je namenjena dobavnim verigam programske opreme, večina podjetniških organizacij uporablja pristop k varnosti aplikacij, ki temelji na tveganju,« je v izjavi, ki je objavila študijo, dejal Jason Schmitt, generalni direktor skupine Synopsys Software Integrity. »Takšen pristop priznava, da varnost ni omejena na kodno zbirko; vključuje proces razvoja programske opreme, kjer se varnostni pregledi in testiranje 'premikajo povsod' za stalno izboljšanje varnostnih rezultatov.«

Razvijalci razširijo uporabo odprte kode 

Podjetja programske opreme po drugih podatkih ne opažajo nobenega zmanjšanja uporabe odprte kode. Namesto tega se razvojne organizacije osredotočajo na izboljšanje varnosti odprtokodne programske opreme in uporabljajo varnost kot glavno vodilo pri izbiri komponent.

V "2021 Stanje dobavne verige programske opreme« Sonatype je na primer ugotovil, da so štirje najboljši odprtokodni ekosistemi – Maven Central Repository (Java), Node.js (JavaScript), Python Package Index (Python) in galerija NuGet (.NET) – hranili 37 milijonov odprtokodnih projektov in komponent, kar je 20-odstotno povečanje v primerjavi z letom prej. Povpraševanje po teh komponentah prav tako narašča: prenesenih je bilo več kot 2.2 bilijona komponent, kar je 73-odstotno letno povečanje.

Tracy Miranda, vodja odprtokodnega oddelka pri Chainguardu, pravi, da se skupnost podatkovne znanosti odmika od odprtokodnih paketov, o katerem poročajo sami, verjetno kaže na večjo ozaveščenost o varnostnih vprašanjih in manj o zavračanju odprtokodnih komponent v razvoju.

Medtem ko so se ekipe za podatkovno znanost in razvojne ekipe morda različno odzvale na glavne varnostne težave – kot je Log4j 2.0 — podjetja nimajo veliko možnosti, ko se odmikajo od enega odprtokodnega paketa, kot da sprejmejo drug paket, katerega vzdrževalci dajejo večji poudarek varnosti, pravi.

»Podjetja izkoriščajo odprto kodo kot način za povečanje svoje hitrosti, tako da, če se zmanjšujejo, na kaj se vračajo? Pisanje kode v podjetju? Uporabljate zapakirane različice tretjih oseb?« Miranda pravi in ​​dodaja, da namesto tega: "Mislim, da lahko pričakujemo, da bodo podjetja bolj pronicljiva glede kakovosti odprte kode, ki jo uporabljajo, zlasti v zvezi z varnostnimi funkcijami."

Podatkovni znanstveniki igrajo lovljenje

Prekinitev povezave med obema stranema je verjetno posledica različnega občinstva v različnih raziskavah. Anacondina raziskava se je osredotočila na strokovnjake za podatkovno znanost, kot je razvidno iz izbire programskih jezikov anketirancev – 58 % jih je uporabljalo Python in 42 % SQL, medtem ko jih je le 26 % uporabljalo JavaScript. 

Boljše merilo občutkov razvijalcev programske opreme je StackOverflowov “2022 Raziskava razvijalcev,« ki je ugotovil, da medtem ko 58 % 'ljudi, ki se učijo kodirati' uporablja Python, samo 44 % profesionalnih razvijalcev kodira v tem jeziku. Po drugi strani pa 68 % profesionalnih razvijalcev uporablja JavaScript, glede na raziskavo StackOverflow.

Poleg tega, medtem ko strokovnjaki za podatkovno znanost delajo v podjetjih, ki v veliki večini (87 %) dovoljujejo odprtokodno programsko opremo, ima približno četrtina (26 %) minimalen nadzor IT oddelka nad njihovimi odprtokodnimi izbirami, je navedeno v poročilu Anaconde. V drugih 18 % podjetij oddelek IT določi le približno polovico razpoložljivih odprtokodnih komponent.

Vzdrževalci najbolj kritičnih projektov - ki jih je na stotine, če ne na tisoče - morajo uporabljati varne odvisnosti, testirati lastno kodo in potrditi zanesljivost sodelujočih. Vzdrževalci bi morali objaviti tudi varnostno kartico – pobuda, ki jo je ustvaril Google, zdaj upravlja Open Source Security Foundation (OpenSSF), ki daje varnostno oceno projektu na podlagi skoraj 20 različnih kriterijev.

Medtem ko se zavedanje verjetno povečuje, hitre rešitve ni, pravi Miranda.

»Resnica je, da varnejše možnosti prej niso obstajale,« pravi. "Odrezovanje nepotrebnih odvisnosti za zmanjšanje napadalne površine je smiselno, vendar je to težko storiti, ko drevo odvisnosti zraste veliko."