Что ждет безопасность программного обеспечения с открытым исходным кодом в 2025 году?

Программное обеспечение с открытым исходным кодом распространено в мире технологий, и такие инструменты, как анализ состава программного обеспечения, могут определять зависимости и защищать их. Однако работа с открытым исходным кодом сопряжена с проблемами безопасности по сравнению с проприетарным программным обеспечением.

Крис Хьюз, главный консультант по безопасности стартапа Endor Labs, занимающегося безопасностью программного обеспечения с открытым исходным кодом, рассказал изданию TechRepublic о сегодняшнем состоянии безопасности программного обеспечения с открытым исходным кодом и о том, как оно может развиваться в следующем году.

«Организации начинают пытаться внедрить некоторые основополагающие вещи, такие как управление, чтобы понять, что мы используем с точки зрения открытого исходного кода», — сказал Хьюз. «Где это находится на нашем предприятии? Какие приложения его запускают?»

Тенденции безопасности с открытым исходным кодом в 2025 году

В своей работе Хьюз определил открытый исходный код как программное обеспечение, исходный код которого находится в свободном доступе и может использоваться для создания других проектов, возможно, с некоторыми ограничениями. В прошлом году Гарвардская школа бизнеса обнаружила, что организациям необходимо инвестировать $8,8 трлн в технологии и рабочее время, чтобы воссоздать программное обеспечение, используемое в бизнесе, если бы программное обеспечение с открытым исходным кодом не было доступно.

«По оценкам, 70–90% всех приложений имеют открытый исходный код, и примерно 90% этих кодовых баз полностью состоят из открытого исходного кода», — сказал Хьюз.

Хьюз прогнозирует, что к 2025 году будет:

Широкое внедрение программного обеспечения с открытым исходным кодом будет сопровождаться все более изощренными атаками на OSS со стороны злоумышленников. Организации продолжат внедрять основополагающее управление OSS. Все больше компаний будут использовать инструменты с открытым исходным кодом и коммерческие инструменты, чтобы начать понимать свое потребление OSS. Организации будут осуществлять потребление OSS с учетом рисков. Предприятия продолжат настаивать на прозрачности поставщиков относительно того, какое OSS они используют в своих продуктах. Однако для этого процесса не возникнет никаких широко распространенных требований. ИИ продолжит влиять на безопасность приложений и открытый исходный код различными способами, включая использование организациями ИИ для анализа кода и устранения проблем. Злоумышленники будут нацеливаться на широко используемые библиотеки, проекты, модели и многое другое OSS AI для запуска атак на цепочку поставок сообщества OSS AI и коммерческих поставщиков. Управление кодом ИИ, при котором организации имеют больше видимости в моделях ИИ, станет более распространенным.

«Организации все чаще хотят знать, насколько безопасно их программное обеспечение с открытым исходным кодом, в том числе, «насколько хорошо оно поддерживается, кто его поддерживает и как быстро они устраняют уязвимости при их появлении», — сказал Хьюз.

Он особо выделил атаку, произошедшую в апреле 2024 года, в ходе которой ряд попыток социальной инженерии поставил под угрозу утилиты с открытым исходным кодом, в частности, открыв бэкдор в утилите XZ Utils.

«Это было действительно зловеще, потому что экосистема с открытым исходным кодом в значительной степени поддерживается неоплачиваемыми добровольцами, людьми, которые делают это в свободное время... и часто не получают компенсацию, не получают зарплату и т. д.», — сказал Хьюз. «Поэтому, использование этого в своих интересах и нажива на этом были довольно гнусным делом, которое привлекло внимание многих людей».

Как ИИ меняет безопасность ПО с открытым исходным кодом?

В октябре 2024 года Open Source Initiative разработала определение для ИИ с открытым исходным кодом. Согласно инициативе, ИИ с открытым исходным кодом имеет четыре ключевых элемента: свободу использовать, изучать, изменять и делиться системой в любых целях.

Хьюз отметил, что определение открытого исходного кода ИИ стало важным в связи с появлением таких платформ распространения, как Hugging Face.

«Эти модели ИИ, особенно с открытым исходным кодом, широко используются многими организациями и отдельными лицами по всему миру», — сказал он. «Поэтому мы снова задаемся вопросом: что именно в этом есть, кто внес в это вклад и где это f

rom? И есть ли уязвимые компоненты?

Хьюз сказал, что крупные корпорации могут иметь больше шансов открыто говорить со своими поставщиками обо всей цепочке поставок программного обеспечения, чем небольшие компании. Поэтому проблема отсутствия прозрачности в отношении моделей ИИ, используемых в их программном обеспечении, может расти экспоненциально для небольших компаний.

СМОТРЕТЬ: Производители устройств для умного дома вскоре смогут подать заявку на получение сертификата безопасности правительства США.

CISA поощряет безопасность разработки программного обеспечения с открытым исходным кодом

В марте 2024 года CISA завершила разработку формы самоаттестации по безопасной разработке программного обеспечения, предназначенной для разработчиков программного обеспечения, используемого федеральным правительством США, чтобы подтвердить, что они используют безопасные методы разработки.

Федеральные агентства могут также запрашивать другие формы и подтверждения. С коммерческой стороны организации могут встраивать аналогичные требования в свои процессы закупок. Элемент доверия все еще присутствует, поскольку организация должна верить, что поставщик сдержит свое слово. Но сейчас этот разговор происходит чаще, чем в прошлом году, после атак на утилиты с открытым исходным кодом, сказал Хьюз.

Решения для будущего безопасности программного обеспечения с открытым исходным кодом

Хьюз сказал, что в 2025 году недостаточно просто выполнять анализ состава программного обеспечения. Специалисты по ИТ и безопасности должны знать, что по мере усложнения программного обеспечения количество уязвимостей возросло «до такой степени, что разработчикам становится сложно даже ориентироваться в том, что нужно исправить и в каком порядке приоритетов», сказал Хьюз.

Такие компании, как Endor Labs, могут предоставить информацию о зависимостях в открытом исходном коде, включая косвенные или транзитивные зависимости.

«Возможность указать на такие вещи, как достижимость и эксплуатируемость… может быть большим преимуществом с точки зрения соответствия требованиям, с точки зрения нагрузки на организацию и вашу команду разработчиков», — сказал он.