Zanemarjanje odprtokodnih razvijalcev ogroža internet

Programska oprema je jedro vseh sodobnih podjetij in je ključna v vseh vidikih poslovanja. Skoraj vsako podjetje bo uporabljalo odprtokodno programsko opremo, zavestno ali ne, saj je tudi lastniška programska oprema odvisna od odprtokodnih knjižnic. OpenUK's Poročilo o stanju odprtosti za leto 2022 je pokazalo, da se je 89 % podjetij zanašalo na odprtokodno programsko opremo, vendar vsem niso jasne podrobnosti programske opreme, na katero se zanašajo.

Podjetja vedno bolj zahtevajo več informacij o svoji kritični programski opremi. Odgovorna podjetja se podrobno zanimajo za svojo dobavno verigo programske opreme in za vsako aplikacijo ustvarijo seznam materialov programske opreme (SBOM). Ta raven informacij je ključnega pomena, da so lahko takoj prepričani, katera programska oprema in različice so v uporabi ter kateri sistemi so prizadeti, ko se odkrijejo varnostne napake v njihovi programski opremi. V teh situacijah je znanje moč!

Zanašanje na prostovoljce

Konec leta 2021 je poklicala varnostna ranljivost Log4Shell je bil identificiran v široko uporabljenem ogrodju za beleženje Java, Log4j. Ker je to široko uporabljena odprtokodna knjižnica, je bila ranljivost dobro objavljena in pričakovani so bili popravki. Vendar pa je vzdrževalci projekta so bili prostovoljci. Imeli so dnevne službe in niso bili dežurni za nujne varnostne popravke, tudi če je bilo prizadetih veliko število sistemov. Ocenjuje se, da je samo ta ranljivost prizadela 93 % poslovnih okolij v oblaku.

Takrat je bilo v medijih nekaj negativnih kritik o odprtokodnosti, a resnica je, da če je bila to zaprtokodna komponenta, ranljivost morda nikoli ni bila javno znana, zaradi česar so organizacije odprte za napade. Odprtokodna narava knjižnice je pomenila, da so jo lahko pregledovali, odkrivali težave in svetovali drugi. Torej, da, vzdrževalci niso bili dežurni zaradi varnostnih težav v svojem prostovoljnem projektu. Veliko vprašanje je torej: Kako smo prišli v situacijo, ko so bila velika podjetja odvisna od programske opreme, za katero je bil odgovoren nekdo, ki za plačilo svojih računov dela nekaj drugega?

Zanemarjanje odvisnosti od programske opreme je tvegan posel, ne glede na licenco programske opreme, toda ko je odprtokodna in se zelo široko uporablja, postane še posebej nevarno. Držimo se zgodbe o eni ranljivosti; težava je obstajala v kodni bazi že leta, vendar je niso opazili. Orodje, ki je bilo tako pogosto uporabljeno, pravzaprav ni bilo tako široko podprto - in kar se je zgodilo potem je zgodovina.

Ta zgodba se vedno znova ponavlja v toliko podjetjih, ki imajo kritične odvisnosti, vendar ne ukrepajo, da bi podprli vzdrževalce ali projekte same. Imeti SBOM za programsko opremo, ki jo uporablja podjetje, pomeni, da imajo informacije pri roki. Za organizacije, ki drugim dobavljajo programsko opremo, je pričakovanje dobave SBOM poleg kode vedno bolj običajno.

Spoznajte odvisnosti za oceno tveganja

Spoznavanje odvisnosti olajša oceno tveganja, povezanega z vsako od njih. Te odprtokodne projekte je najenostavneje oceniti: ali so se na težave odzvali in ali je v zadnjem času prišlo do kakšnih izdaj? Možnost ogleda vzdrževalcev in projektnih dejavnosti za vsak projekt daje dober vpogled v stanje projekta.

Podjetja lahko odigrajo svojo vlogo pri zmanjševanju tveganj s podporo projektom, od katerih so odvisna. Nekateri projekti sprejmejo sponzorstvo neposredno prek sheme sponzorjev GitHub, drugi pa bodo morda cenili ponudbe gostovanja ali varnostne revizije. Vsak odprtokodni projekt ceni prispevke. Če bi vaše podjetje samo ustvarilo to knjižnico, bi morali inženirji v podjetju sami odpraviti vsako napako.

Odprta koda je bolj podobna shemi skupnega lastništva. Ni nam treba vsem večkrat zgraditi iste stvari, ampak lahko prispevamo, kar pomeni manj truda in vodi k boljši kakovosti. Ena najučinkovitejših stvari, ki jih lahko naredijo podjetja, je, da uporabijo malo svojih inženirskih virov in prispevati k popravkom napak ali funkcijam projektov ki so tako bistvenega pomena za posel.

Vključevanje lastnih inženirjev v projekt ima številne prednosti. Spoznajo ga in lahko spremljajo nove funkcije ali ko je na voljo nova izdaja. Bistveno je, da ima podjetje vpogled v zdravje in status odvisnega projekta in je del tega, kar ga ohranja zdravega, kar zmanjšuje tveganje za težave z odvisnostjo za podjetje. Številne organizacije, vključno z Aivenom, imajo OSPO (odprtokodni programski urad) z osebjem, namenjenim prispevanju k ali celo vzdrževanju projektov, ki jih uporablja organizacija. Ti oddelki pogosto prispevajo k splošni prisotnosti podjetja v odprtokodnem ekosistemu in omogočajo drugim zaposlenim, da se vključijo v odprtokodni sistem.

Drug pristop je podpreti organizacije, ki obstajajo za podporo odprtokodnih virov. The OpenSSF (Open Source Security Foundation) deluje za izboljšanje varnosti odprtokodnih projektov in ga financirajo organizacije, ki so odvisne od teh projektov. Objavlja tudi odlične učne vire, tako da se lahko podjetja poučijo o tveganjih programske opreme, ki jo uporabljajo. Druga podobna organizacija je Dvigalo, ki sodeluje z vzdrževalci, da zagotovi izpolnjevanje določenih osnovnih zahtev, spet financirajo organizacije. Tidelift ponuja tudi orodja in izobraževanje za pomoč podjetjem pri upravljanju dobavne verige programske opreme in sprejemanju najboljših praks na tem področju.

Zagotavljanje varnejše prihodnosti programske opreme

Podjetja so odvisna od programske opreme, kar vključuje odprtokodno programsko opremo, ki se pogosto uporablja in je običajno varnejša od lastniških alternativ.

To je pametna poteza, a še pametnejša poteza je jasno poznavanje dobavne verige programske opreme in njenih odvisnosti. Ko se pojavi težava, odvisnost od zdravih projektov in razpoložljivih podrobnosti vaše programske opreme pomaga vsaki organizaciji. Če bi to storila vsaka organizacija, bi se zmanjšalo tveganje za dogodke, kot je ranljivost Log4Shell.