Многие компоненты программного обеспечения с открытым исходным кодом имеют тревожные риски безопасности.

Многие компоненты программного обеспечения с открытым исходным кодом имеют тревожные риски безопасности.

18 апреля 2023 г.

Новое исследование от Lineaje, охватывающее "десятки тысяч" открытых источников Projects выявило, сколько уязвимостей есть в программном обеспечении, которое многие из нас используют, и сколько из них не имеют исправления.

Исследование сравнивает программное обеспечение с открытым исходным кодом (OSS) в айсберг, из-за чего более 80% проекта невидимо. В целом, Lineage обнаружила, что 82% всех OSS «рискованы по своей сути».

Неизвестные и сомнительные недостатки безопасности вызывают достаточно беспокойства, но компания, ориентированная на безопасность, отмечает, что многие разработчики рады заимствовать и использовать код. из других проектов, в результате чего вторая сторона не может исправить уязвимости.

Проблемы с открытым исходным кодом

Сильная зависимость от внешних разработчиков, возможно, является наиболее тревожным выводом исследования, которое показало, что только около одной трети (32%) программного обеспечения Apache было написано Apache. Остальные две трети составляют зависимости от других проектов.

Подробнее

> Это лучшие брандмауэры для вашей безопасности

> Открыть -source security действительно не должен быть таким дырявым

> Google запускает новый инструмент сканирования безопасности с открытым исходным кодом

HTTP-сервер Apache поддерживает примерно два из пяти всех веб-сайтов, а около 320 других активных проектов с открытым исходным кодом в настоящее время действуют в рамках Фонда. По словам Lineaje, «ASF не может исправить большинство уязвимостей».

Генеральный директор и соучредитель Lineaje Джавед Хасан объяснил, что больше кода собирается, чем создается, поэтому «крайне важно, чтобы сегодня организации понимали, что открытые исходное программное обеспечение сопряжено с риском и может быть изменено, даже если оно очень популярно или предоставляется известным брендом».

Хасан продолжает: «Разработчики не обладают рентгеновским зрением, чтобы заглянуть внутрь программного компонента, который они включают, и являются самыми экспертами по безопасности селекторов с открытым исходным кодом». Решение, по его словам, состоит в том, чтобы внедрить инструменты управления цепочками поставок программного обеспечения для улучшения мониторинга рисков.

Оригинал

Categories

PREVIOUS ARTICLE
NEXT ARTICLE