Egy új jelentés szerint a nyílt forráskódú szoftverek széles körű használata a modern alkalmazásfejlesztésben jelentős biztonsági kockázatokhoz vezet. A Snyk fejlesztői biztonsági cég és a Linux Foundation által végzett kutatás szerint a szervezetek 41 százaléka nem bízik komolyan a nyílt forráskódú szoftverek biztonságában.
Egy átlagos alkalmazásfejlesztési projekt 49 sebezhetőséget és 80 közvetlen függőséget (egy projekt által igénybe vett nyílt forráskódot) tartalmaz. Ráadásul a nyílt forráskódú projektekben a sebezhetőségek javításához szükséges idő folyamatosan nőtt, a 2018-as 49 napról 2021-re több mint kétszeresére, 110 napra emelkedett.
"A szoftverfejlesztőknek ma már saját ellátási láncuk van - az autóalkatrészek összeszerelése helyett kódot állítanak össze úgy, hogy a meglévő nyílt forráskódú komponenseket saját egyedi kódjukkal foltozzák össze. Miközben ez a termelékenység és az innováció növekedéséhez vezet, jelentős biztonsági aggályokat is felvet" - mondta Matt Jarvis, a Snyk fejlesztői kapcsolatokért felelős igazgatója a Beta News szerint. "Ez az első ilyen jellegű jelentés széleskörű bizonyítékokat talált, amelyek az iparág naivitására utalnak a nyílt forráskódú biztonság mai állapotát illetően. A Linux Foundationnel közösen azt tervezzük, hogy ezeket az eredményeket felhasználjuk a világ fejlesztőinek további oktatására és felkészítésére, hogy képessé tegyük őket a további gyors építkezésre, miközben biztonságban is maradnak" - tette hozzá a szakember.
Az egyéb megállapítások között szerepel, hogy a szervezeteknek csak 49 százalékánál van biztonsági politika az OSS fejlesztésére vagy használatára vonatkozóan (és ez a szám a közepes és nagyvállalatok esetében mindössze 27 százalék). Míg a nyílt forráskódú biztonsági politikát nem működtető szervezetek 30 százaléka nyíltan elismeri, hogy csapatában senki sem foglalkozik közvetlenül a nyílt forráskódú biztonsággal.
A beszállítói lánc összetettsége is problémát jelent, a felmérésben részt vevők több mint negyede megjegyzi, hogy aggódik a közvetlen függőségi viszonyaik biztonsági hatása miatt. Mindössze 18 százalékuk mondja, hogy biztos az ezekre vonatkozó ellenőrzéseikben, és az összes sebezhetőség 40 százalékát a tranzitív függőségekben találták.