Yeni araştırmalara göre, modern uygulama geliştirmede açık kaynaklı yazılımın (OSS) yaygın kullanımı “önemli bir güvenlik riski” oluşturuyor.
Siber güvenlik şirketi Snyk’in yeni bir raporuna göre, Linux ile birlikte (yeni sekmede açılır) Vakıf, günümüz organizasyonları bu risklerle başa çıkmak için yeterince hazırlıklı değil.
550’den fazla katılımcının katıldığı bir ankete ve Snyk Açık Kaynak aracılığıyla 1,3 milyar açık kaynak projesinden alınan verilere dayanan rapor, beş firmadan ikisinin (%41) açık kaynak kodlarının güvenliğinden emin olmadığını belirtiyor.
Açık kaynak kodundaki güvenlik açıkları
Ortalama uygulama geliştirme projesinin 49 güvenlik açığı ve 80 doğrudan bağımlılığa sahip olduğu bulundu. Genellikle, bir açık kaynak projesindeki bir güvenlik açığını gidermek, dört yıl önce 49 gün iken şimdi 110 gün sürüyor.
“Günümüzde yazılım geliştiricilerin kendi tedarik zincirleri var – araba parçalarını bir araya getirmek yerine, mevcut açık kaynak bileşenlerini benzersiz kodlarıyla bir araya getirerek kod oluşturuyorlar. Snyk Geliştirici İlişkileri Direktörü Matt Jarvis, bu, üretkenliği ve inovasyonu artırırken, önemli güvenlik endişeleri de yarattı” dedi.
Jarvis, endüstrinin açık kaynaklı yazılımlara yaklaşımında, her türlü kötü amaçlı yazılım, fidye yazılımı ve diğer saldırılara kapı açabilecek belirli bir “naiflik” olduğunu ekledi.
Örneğin, yarısından azının (%49) OSS geliştirme veya kullanımına yönelik bir güvenlik politikası vardır ve orta ve büyük ölçekli şirketlerde %27’ye düşer. Ayrıca, açık kaynak güvenlik politikası olmayan kuruluşların üçte birinden daha azı (%30), şu anda hiç kimsenin açık kaynaklı yazılımların güvenliğini ele almadığının farkındadır.
Ancak bazı katılımcılar, tedarik zincirindeki açık kaynaklı yazılımların yol açtığı güvenlik sorunlarının farkında. Dörtte biri, bağımlılıklarının OSS üzerindeki güvenlik etkisinden endişe duyduklarını ve yalnızca %18’i, tüm güvenlik açıklarının %40’ının bulunduğu geçişli bağımlılıkları için kurdukları kontrollere güvendiklerini söyledi.