Безопасность с открытым исходным кодом быстро становится серьезной проблемой

Безопасность с открытым исходным кодом быстро становится серьезной проблемой

24 июня 2022 г.

Широкое использование программного обеспечения с открытым исходным кодом (OSS) при разработке современных приложений создает «значительную угрозу безопасности». », — предполагает новое исследование.

Согласно новому отчету компании Snyk, занимающейся кибербезопасностью, совместно с Linux Foundation, сегодня организации не готовы к этим рискам.

На основе опроса более 550 респондентов, а также данных, полученных из 1,3 миллиарда проектов с открытым исходным кодом через Snyk Open Source, в отчете говорится, что две из пяти (41%) компаний не уверены в безопасности своего открытого исходного кода.

Поделитесь своими мыслями по кибербезопасности и получите бесплатную копию Руководства хакера 2022. Помогите нам узнать, как компании готовятся к миру после пандемии COVID-19, и влияние этих действий на их планы кибербезопасности. Введите свой адрес электронной почты в конце этого опроса, чтобы получить книжный журнал стоимостью 10,99 долл. США/10,99 фунта стерлингов.

Уязвимости в открытом коде

Выяснилось, что средний проект разработки приложений имеет 49 уязвимостей, а также 80 прямых зависимостей. Обычно сейчас на устранение уязвимости в проекте с открытым исходным кодом уходит 110 дней, по сравнению с 49 днями четыре года назад.

«Сегодня у разработчиков программного обеспечения есть свои собственные цепочки поставок — вместо того, чтобы собирать автомобильные детали, они собирают код, объединяя существующие компоненты с открытым исходным кодом со своим уникальным кодом. Хотя это приводит к повышению производительности и инновациям, это также создает серьезные проблемы с безопасностью», — сказал Мэтт Джарвис, директор по связям с разработчиками, Snyk.

Джарвис добавил, что в отраслевом подходе к программному обеспечению с открытым исходным кодом есть определенная «наивность», которая может открыть дверь для всех видов программы-вымогатели и другие атаки.

Например, менее половины (49%) имеют политику безопасности для разработки или использования OSS, а среди средних и крупных компаний этот показатель снижается до 27%. Кроме того, менее трети (30%) организаций, не имеющих политики безопасности открытого исходного кода, осознают тот факт, что на данный момент никто не занимается вопросами безопасности программного обеспечения с открытым исходным кодом.

Но некоторые респонденты знают о проблемах безопасности, связанных с программным обеспечением с открытым исходным кодом в цепочке поставок. Четверть заявили, что обеспокоены влиянием своих зависимостей на OSS на безопасность, и только 18% заявили, что уверены в средствах контроля, которые они настроили для своих транзитивных зависимостей, в которых было обнаружено 40% всех уязвимостей.


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE