การละเลยนักพัฒนาโอเพ่นซอร์สทำให้อินเทอร์เน็ตตกอยู่ในความเสี่ยง

ซอฟต์แวร์เป็นหัวใจสำคัญของธุรกิจสมัยใหม่ทั้งหมด และมีความสำคัญอย่างยิ่งต่อการดำเนินงานในทุกๆ ด้าน เกือบทุกธุรกิจจะใช้ซอฟต์แวร์โอเพ่นซอร์ส ไม่ว่าจะรู้เท่าทันหรืออย่างอื่น เนื่องจากแม้แต่ซอฟต์แวร์ที่เป็นกรรมสิทธิ์ก็ขึ้นอยู่กับไลบรารีโอเพ่นซอร์ส OpenUK's รายงาน "State of Open" ปี 2022 พบว่า 89% ของธุรกิจใช้ซอฟต์แวร์โอเพ่นซอร์ส แต่ไม่ใช่ทุกธุรกิจจะชัดเจนในรายละเอียดของซอฟต์แวร์ที่พวกเขาใช้

ธุรกิจต่างๆ ต้องการข้อมูลเพิ่มเติมเกี่ยวกับซอฟต์แวร์ที่มีความสำคัญต่อการปฏิบัติงานมากขึ้น ธุรกิจที่รับผิดชอบกำลังให้ความสนใจโดยละเอียดในห่วงโซ่อุปทานซอฟต์แวร์ของตน และสร้างรายการวัสดุซอฟต์แวร์ (SBOM) สำหรับแต่ละแอปพลิเคชัน ข้อมูลระดับนี้มีความสำคัญอย่างยิ่ง ดังนั้นเมื่อมีการระบุข้อบกพร่องด้านความปลอดภัยในซอฟต์แวร์ พวกเขาสามารถแน่ใจได้ทันทีว่าซอฟต์แวร์และเวอร์ชันใดใช้งานอยู่ และระบบใดบ้างที่ได้รับผลกระทบ ความรู้คือพลังในสถานการณ์เหล่านี้!

พึ่งจิตอาสา

ในช่วงปลายปี 2021 ช่องโหว่ด้านความปลอดภัยที่เรียกว่า Log4Shell ถูกระบุในเฟรมเวิร์กการบันทึก Java ที่ใช้กันอย่างแพร่หลาย Log4j เนื่องจากเป็นไลบรารีโอเพ่นซอร์สที่ใช้กันอย่างแพร่หลาย ช่องโหว่จึงได้รับการเผยแพร่อย่างดีและคาดว่าจะมีการแก้ไข อย่างไรก็ตาม ผู้ดูแลโครงการเป็นอาสาสมัคร. พวกเขามีงานประจำและไม่ได้รับการร้องขอให้แก้ไขด้านความปลอดภัยอย่างเร่งด่วน แม้ว่าจะมีระบบจำนวนมากได้รับผลกระทบก็ตาม ช่องโหว่นี้เพียงอย่างเดียวคาดว่าจะส่งผลกระทบ 93% ของสภาพแวดล้อมระบบคลาวด์ขององค์กร

ในขณะนั้น มีข่าวเชิงลบเกี่ยวกับโอเพ่นซอร์ส แต่ความจริงก็คือหากนี่เป็นองค์ประกอบแบบปิด ช่องโหว่อาจไม่เคยเป็นที่รู้จักในที่สาธารณะ ซึ่งทำให้องค์กรต่างๆ เปิดกว้างสำหรับการโจมตี ลักษณะโอเพนซอร์สของห้องสมุดหมายความว่าสามารถตรวจสอบ ปัญหาที่พบ และคำแนะนำจากผู้อื่นได้ ใช่ ผู้ดูแลไม่ได้รับแจ้งปัญหาด้านความปลอดภัยในโครงการอาสาสมัครของพวกเขา คำถามใหญ่ก็คือ เราเข้าสู่สถานการณ์ที่บริษัทใหญ่ๆ ต้องพึ่งพาซอฟต์แวร์ที่เป็นความรับผิดชอบของคนที่ทำอย่างอื่นเพื่อชำระค่าใช้จ่ายได้อย่างไร

การละเลยการพึ่งพาซอฟต์แวร์ถือเป็นธุรกิจที่มีความเสี่ยงไม่ว่าจะมีใบอนุญาตของซอฟต์แวร์ก็ตาม แต่เมื่อเป็นโอเพ่นซอร์สและใช้กันอย่างแพร่หลาย ก็จะเป็นอันตรายอย่างยิ่ง ยึดติดกับเรื่องราวของช่องโหว่หนึ่ง ปัญหามีอยู่ใน codebase มาหลายปีแล้ว แต่ยังไม่พบ เครื่องมือที่ใช้กันอย่างแพร่หลายจริง ๆ แล้วไม่ได้รับการสนับสนุนอย่างกว้างขวาง – และ สิ่งที่เกิดขึ้นต่อไปคือประวัติศาสตร์.

เรื่องราวนี้เกิดขึ้นซ้ำแล้วซ้ำเล่าในธุรกิจจำนวนมากที่มีการพึ่งพาที่สำคัญ แต่ไม่ได้ดำเนินการใดๆ เพื่อสนับสนุนผู้ดูแลหรือตัวโครงการเอง การมี SBOM สำหรับซอฟต์แวร์ที่ใช้โดยธุรกิจหมายความว่าพวกเขามีข้อมูลในมือ สำหรับองค์กรที่จัดหาซอฟต์แวร์ให้กับผู้อื่น ความคาดหวังในการจัดหา SBOM ควบคู่ไปกับโค้ดนั้นถือเป็นเรื่องปกติมากขึ้น

รู้จักการพึ่งพาเพื่อประเมินความเสี่ยง

การนำความรู้เกี่ยวกับการพึ่งพาอาศัยกันทำให้ง่ายต่อการประเมินความเสี่ยงที่เกี่ยวข้องกับแต่ละรายการ โครงการโอเพ่นซอร์สเหล่านี้ประเมินได้ง่ายที่สุด: มีการตอบสนองต่อปัญหาหรือไม่ และมีการเปิดตัวเมื่อเร็วๆ นี้หรือไม่ ความสามารถในการมองเห็นผู้ดูแลและกิจกรรมโครงการสำหรับแต่ละโครงการช่วยให้เข้าใจถึงสุขภาพของโครงการได้ดี

ธุรกิจสามารถมีส่วนร่วมในการลดความเสี่ยงโดยการสนับสนุนโครงการที่พวกเขาพึ่งพา บางโครงการยอมรับการสนับสนุนโดยตรงผ่านโครงการผู้สนับสนุน GitHub บางโครงการอาจชื่นชมข้อเสนอของการโฮสต์หรือการตรวจสอบความปลอดภัยแทน ทุกโครงการโอเพ่นซอร์สชื่นชมการมีส่วนร่วม หากธุรกิจของคุณสร้างห้องสมุดนี้ขึ้นมาเอง วิศวกรในบริษัทจะต้องแก้ไขจุดบกพร่องทั้งหมดด้วยตนเอง

โอเพ่นซอร์สเป็นเหมือนแผนความเป็นเจ้าของร่วมกัน เราทุกคนไม่จำเป็นต้องสร้างสิ่งเดียวกันซ้ำแล้วซ้ำอีก แต่สามารถมีส่วนร่วมได้ ซึ่งใช้ความพยายามน้อยลงและนำไปสู่คุณภาพที่ดีขึ้นด้วย สิ่งหนึ่งที่ธุรกิจสามารถทำได้คือการใช้ทรัพยากรทางวิศวกรรมเพียงเล็กน้อยและ มีส่วนร่วมในการแก้ไขข้อบกพร่องหรือคุณสมบัติให้กับโครงการ ที่เป็นแก่นแท้ของธุรกิจ

ให้วิศวกรของคุณมีส่วนร่วมในโครงการ มีประโยชน์มากมาย พวกเขาทำความรู้จักและคอยดูคุณลักษณะใหม่ๆ หรือเมื่อมีรุ่นใหม่ออกมา สิ่งสำคัญที่สุดคือ ธุรกิจมีความเข้าใจอย่างถ่องแท้เกี่ยวกับสุขภาพและสถานะของโครงการที่ต้องพึ่งพาอาศัยกัน และเป็นส่วนหนึ่งของสิ่งที่ทำให้สุขภาพดี ลดความเสี่ยงต่อธุรกิจที่มีปัญหาเรื่องการพึ่งพาอาศัยกัน องค์กรหลายแห่ง รวมทั้ง Aiven มี OSPO (สำนักงานโปรแกรมโอเพ่นซอร์ส) โดยมีพนักงานที่ทุ่มเทให้กับการสนับสนุนหรือดูแลโครงการที่ใช้โดยองค์กร แผนกเหล่านี้มักมีส่วนทำให้บริษัทมีอยู่ทั่วไปในระบบนิเวศโอเพนซอร์ส และทำให้พนักงานคนอื่นๆ มีส่วนร่วมกับโอเพ่นซอร์สได้

อีกแนวทางหนึ่งคือการสนับสนุนองค์กรที่มีอยู่เพื่อรองรับโอเพ่นซอร์ส ดิ OpenSSF (มูลนิธิความปลอดภัยโอเพ่นซอร์ส) ทำงานเพื่อปรับปรุงความปลอดภัยของโครงการโอเพ่นซอร์สและได้รับทุนจากองค์กรที่ขึ้นอยู่กับโครงการเหล่านั้น นอกจากนี้ยังเผยแพร่แหล่งข้อมูลการเรียนรู้ที่ยอดเยี่ยมเพื่อให้ธุรกิจสามารถให้ความรู้เกี่ยวกับความเสี่ยงของซอฟต์แวร์ที่ใช้ อีกองค์กรที่คล้ายคลึงกันคือ ไทด์ลิฟท์ซึ่งเป็นพันธมิตรกับผู้ดูแลเพื่อให้แน่ใจว่าตรงตามข้อกำหนดพื้นฐานบางอย่างได้รับทุนจากองค์กรอีกครั้ง Tidelift ยังจัดเตรียมเครื่องมือและการศึกษาเพื่อช่วยให้ธุรกิจต่างๆ จัดการซัพพลายเชนซอฟต์แวร์ของตนและนำแนวปฏิบัติที่ดีที่สุดมาใช้ในด้านนี้

การรักษาอนาคตซอฟต์แวร์ที่ปลอดภัยยิ่งขึ้น

ธุรกิจต่างๆ ต้องพึ่งพาซอฟต์แวร์ ซึ่งรวมถึงซอฟต์แวร์โอเพ่นซอร์สซึ่งมีการใช้กันอย่างแพร่หลายและโดยทั่วไปจะมีความปลอดภัยมากกว่าทางเลือกที่เป็นกรรมสิทธิ์

นี่เป็นการเคลื่อนไหวที่ชาญฉลาด แต่การเคลื่อนไหวที่ฉลาดกว่านั้นคือการมีความรู้ที่ชัดเจนเกี่ยวกับซัพพลายเชนของซอฟต์แวร์และการพึ่งพาอาศัยกัน เมื่อเกิดปัญหาขึ้น ขึ้นอยู่กับโครงการที่ดีและการมีรายละเอียดซอฟต์แวร์ของคุณจะช่วยให้ทุกองค์กร หากทุกองค์กรทำเช่นนี้ ความเสี่ยงที่จะมีเหตุการณ์เช่นช่องโหว่ Log4Shell จะลดลง