AplikacjeCyberbezpieczeństwoProgramowanie
Czy rozwiązania open source są bezpieczniejsze od komercyjnych?
Przez lata panowało przekonanie, że otwarte oprogramowanie cechuje się niższą jakością w porównaniu do rozwiązań komercyjnych, a co za tym idzie – jest bardziej narażone na usterki i cyberataki. Obecnie takie opinie należą już do rzadkości. Według najnowszych badań Linux Foundation, nawet 73% ekspertów twierdzi, że open source jest bezpieczniejszy od zamkniętego kodu. Na wzrost zaufania do OSS wpływa wiele czynników, a jednym z nich może być SourceMation Index. Jak organizacje ograniczają ryzyka związane z wykorzystaniem tego typu rozwiązań?
Jak wskazuje międzynarodowy raport State of Open Source 2024, na przestrzeni ostatniego roku 67% organizacji zwiększyło użycie oprogramowania opartego na otwartym kodzie. Głównymi motywacjami dla użytkowników były brak kosztów licencyjnych (36,6% wskazań), dostęp do funkcji wpływających na szybkość rozwoju (30,7%) oraz stabilność wynikająca z długoterminowego wsparcia społeczności (27,6%). Ten ostatni czynnik jest jedną z kluczowych kwestii wpływających na wzrost zaufania organizacji do open source. Powszechny dostęp do kodu zwiększa bowiem szansę na identyfikację i naprawę potencjalnych usterek przez jego twórców lub innych użytkowników.
“Badania pokazują zmiany w podejściu rynku do open source. Dziś zdecydowana większość osób rozumie, że darmowe oprogramowanie nie oznacza niskiej jakości, a dawniej można było się spotkać z taką opinią. Cieszy fakt, że rośnie zaufanie do rozwiązań opartych na otwartym kodzie, a wiele osób uważa je nawet za bezpieczniejsze od tych komercyjnych. Musimy jednak pamiętać, że liczba cyberataków stale rośnie. Dlatego nie zawsze należy zachować ostrożność i zwracać baczniejszą uwagę na aspekty cyberbezpieczeństwa” – wyjaśnia Dariusz Świąder, prezes Linux Polska.
Warto pamiętać, że poza standardowymi ryzykami – takimi jak luki w kodzie czy ataki na łańcuch logistyczny oprogramowania – istnieje szereg mniej popularnych zagrożeń. Zdarza się, że projekty open source, które powinny być stale rozwijane, są zaniedbywane lub porzucane, np. na skutek konfliktu między deweloperami. Dużym problemem są zmiany w licencjach, które ograniczają dostęp do kodu i przez to wpływają niekorzystnie na funkcjonowanie organizacji. Do czynników ryzyka należy zaliczyć również regulacje prawne i sankcje gospodarcze, pod wpływem których twórcy kodu mogą zaprzestać świadczenia usług na terenie danego kraju.
Jak organizacje zarządzają ryzykiem IT?
Czy wzrost zaufania do open source wpłynął na podejście do kwestii bezpieczeństwa? Badania nie dostarczają jednoznacznej odpowiedzi na to pytanie. Najczęściej wdrażaną praktyką w związku z wykorzystaniem przez firmy OSS jest stworzenie wewnętrznych instrukcji, list kontrolnych lub wytycznych dotyczących korzystania z oprogramowania bazującego na otwartym kodzie – taką odpowiedź wskazało 42% badanych. Formalny proces oceny komponentów OSS przeprowadza co trzecia firma, natomiast szkolenia programistyczne dotyczące bezpiecznego tworzenia oprogramowania są zalecane, w co czwartej. Jedna na pięć organizacji korzysta z pomocy zewnętrznych ekspertów w celu określenia, z jakich komponentów powinna korzystać. Co zaskakujące, aż 21% ankietowanych przyznało, że nie stosuje żadnej z wyżej wymienionych praktyk zarządzania ryzykiem.
Sytuacja wygląda nieco lepiej w przypadku doraźnych środków ostrożności podejmowanych przed wdrożeniem nowych komponentów OSS. Organizacje korzystają z różnych sposobów oceny wiarygodności, jakości i bezpieczeństwa. Najczęściej sprawdzanymi aspektami są poziom aktywności społeczności projektowej (54% wskazań), statystyki pobrań pakietów (43%) oraz częstotliwość aktualizacji (41%). Badanie bezpośrednich zależności kodu przeprowadza 38% organizacji, a co trzecia korzysta ze zautomatyzowanych narzędzi do oceny rozwiązań, które planuje wdrożyć.
Jak wskazują eksperci Linux Polska, to nadal za mało. Organizacje powinny w sposób proaktywny podchodzić do kwestii ryzyka i zarządzać nim w sposób systemowy. Na ryku dostępne są rozwiązania, które umożliwiają skuteczną realizację takiego podejścia. Jednym z nich jest SourceMation Index, który dostarcza organizacjom danych, które mogą one wykorzystać do bardziej precyzyjnej oceny ryzyka zastosowania wybranego oprogramowania.
“Analiza ryzyka nie powinna ograniczać się jedynie do standardowej oceny luk w kodzie, szczególnie że oprogramowanie open source jest również wykorzystywane w sektorach kluczowych dla bezpieczeństwa kraju, np. publicznym lub finansowym. Nie powinna również uwzględniać kilku wybranych aspektów wpływających na bezpieczeństwo informatyczne. Do tego tematu należy podejść przekrojowo: od analizy składu oprogramowania, przez zagrożenia związane z jego rozwojem i utrzymaniem, aż po zgodność z polskimi i europejskimi wytycznymi dotyczącymi cyberbezpieczeństwa” – tłumaczy Tomasz Dziedzic, Chief Technology Officer w Linux Polska.
Poza oceną każdego z tych czynników osobno, ważne jest również badanie zależności między nimi.
“I właśnie na to zwracamy szczególną uwagę w naszym autorskim systemie analizy ryzyka oprogramowania – SourceMation – zawierającego projekty oparte na otwartym kodzie źródłowym. Celem, do którego dążymy, jest umożliwienie organizacjom oceny skumulowanego ryzyka i zdobycia pełnej informacji o potencjalnych zagrożeniach. Aktualnie platforma jest upubliczniona i można już z niej korzystać” – podsumowuje Dariusz Świąder, Linux Polska.