У сучасному світі програмної розробки використання компонентів з відкритим вихідним кодом (Open Source) стало невіддільною частиною процесу. Проте з перевагами Open Source приходять і ризики, які необхідно ретельно враховувати. Ця стаття, заснована на звіті “Open Source Security and Risk Analysis” (OSSRA) за 2024 рік, висвітлює ключові аспекти безпеки Open Source і пропонує рекомендації для ефективного управління ризиками.
Поширеність Open Source та пов’язані ризики
Звіт OSSRA, проведений Black Duck Audit Services, включає аналіз 1067 комерційних баз коду з 17 галузей. Деякі ключові дані:
- 96% цих баз коду містили Open Source компоненти.
- 77% всього коду в цих базах походило з Open Source.
Це свідчить про те, що Open Source став основою сучасних програм, що підвищує важливість ефективного управління для гарантування безпеки.
Вразливості Open Source
- 84% баз коду, які пройшли оцінку ризику, містили хоча б одну відому вразливість Open Source.
- 74% баз коду містили вразливості високого рівня ризику, що значно перевищує показник у 48% за 2022 рік.
Зростання цих показників може бути зумовлене скороченням ресурсів для виявлення та усунення вразливостей через економічні фактори.
Застарілі компоненти Open Source
Використання застарілих компонентів є серйозною проблемою:
- 91% баз коду містили компоненти, що відставали на 10 і більше версій від найновішої.
- 49% баз мали компоненти без активності розробки протягом останніх 24 місяців.
Це вказує на те, що більшість користувачів не оновлюють свої Open Source компоненти, що підвищує ризик експлуатації відомих вразливостей.
Ліцензування Open Source
Управління ланцюгом поставок програмного забезпечення включає дотримання ліцензійних вимог:
- 53% перевірених баз коду містили Open Source з конфліктами ліцензій.
Використання навіть невеликих фрагментів коду з Open Source потребує чіткого дотримання умов ліцензії.
Ризики з інструментами кодування на основі ШІ
З поширенням інструментів кодування на основі штучного інтелекту виникають питання щодо власності, авторського права та ліцензування. Розробники повинні бути обережними, оскільки згенерований код може містити Open Source фрагменти, що вимагають дотримання ліцензій.
Рекомендується використовувати сканери коду для виявлення таких фрагментів і забезпечення дотримання ліцензійних вимог.
Рекомендації для управління ризиками Open Source
- Створення та підтримка Software Bill of Materials (SBOM): детальний список компонентів, ліцензій, версій та статусу виправлень.
- Використання інструментів аналізу складу програмного забезпечення (SCA): для автоматизації виявлення, управління та усунення проблем безпеки.
- Регулярне оновлення компонентів: слідкуйте за виправленнями та своєчасно усувайте вразливості.
- Перевірка коду: перед використанням Open Source коду у проєкті перевіряйте його на наявність вразливостей.
- Проактивне управління ризиками: звертайте увагу на стан і походження компонентів ще до їхнього використання.
- Ефективне управління ліцензіями: переконайтеся у відповідності умов ліцензій Open Source з наявним програмним забезпеченням.
Висновок
Open Source має безліч переваг, але несе і ризики. Розуміння цих ризиків та впровадження відповідних заходів безпеки є ключовим для гарантування захисту інтелектуальної власності.
Детальніше про плюси та мінуси використання Open Source ви можете дізнатися тут.
