Linux Foundation у співпраці з Лабораторією інноваційної науки в Гарварді та кількома постачальниками аналізу складу програмного забезпечення (SCA) опублікували дослідження, яке окрім визначення найпоширеніших пакетів програмного забезпечення також пролило світло на фундаментальні виклики відкритого використання коду. Про це повідомляє DevOps.com.
На основі понад 12 мільйонів спостережень за бібліотеками програмного забезпечення автори звіту «Census III of Free and Open Source Software — Application Libraries» дійшли висновку, що 96% баз коду використовують певний тип програмного забезпечення з відкритим кодом із найбільш широко використовуваним npm. пакет react.dom, react, lodash, axios та express.
Кожен проаналізований пакет був ранжований на основі інформації, отриманої з інструментів SCA, наданих Black Duck, FOSSA, Snyk і Sonatype, і додаткових ручних перевірок програмного забезпечення, проведених волонтерами.
Загалом у звіті зазначається, що відсоток пакетів, специфічних для хмарного сервісу, зріс, як і кількість пакетів NuGet і Python. Крім того, темпи, з якими організації переходять із Python 2 на Python 3 і приймають Rust для створення безпечного програмного забезпечення, також постійно пришвидшуються.
Однак у звіті зазначається, що збір точних даних залишається проблемою через відсутність стандартів для схем імен.
Ще більше занепокоєння викликає те, що більшість цих пакетів підтримується невеликою кількістю учасників, що дає кіберзлочинцям вузький набір основних цілей захоплення облікових записів, які можуть призвести до впровадження шкідливих програм у ці компоненти ПЗ. Із точки зору імпульсу така вузька база учасників також ускладнює додавання небезпечного коду до проєкту новому учаснику, якого ніхто не перевіряв.
Автори звіту попередили, що доступ до застарілих версій пакетів стає надто легким для розробників застосунків, які використовують програмне забезпечення з відкритим кодом для завантаження пакета, який містить відомі вразливості, що були усунені в його пізнішому випуску.
Девід Вілер, директор із безпеки ланцюга поставок з відкритим кодом у Linux Foundation, сказав, що жодна з цих проблем не зменшить залежності від програмного забезпечення з відкритим кодом. Проте в епоху, коли правила щодо того, як ПЗ потрібно підтримувати та захищати, стають суворішими, ще багато роботи належить зробити.
У звіті висвітлюється, які пакети програмного забезпечення можуть потребувати найбільшої допомоги, включно з рейтингами безпеки на основі фреймворку, розробленого Open Source Security Foundation (OpenSSF), відділом Linux Foundation, спеціально зосередженим на безпеці програмного забезпечення з відкритим кодом.
Звичайно, ідеальної безпеки застосунків ніколи не буде, але принаймні кількість векторів, які можуть бути використані, може різко зменшитися, коли спільнота відкритих кодів зрозуміє, на чому найкраще зосередити зусилля.
Читайте також на нашому сайті про офіційний реліз Linux Kernel 6.12.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
