OpenSSF presenta il manifesto del consumo open source per ottimizzare l'utilizzo del software open source

In un passo progressivo verso l’incapsulamento dei vantaggi del software open source (OSS) in modo più giudizioso, la Open Source Security Foundation (OpenSSF) ha lanciato l’Open Source Consumption Manifesto (OSCM). Simile all’iconico Manifesto Agile, l’OSCM è un documento rafforzato da valori fondamentali e racchiude 15 principi guida progettati per semplificare l’utilizzo dell’open source.

Il software open source è stato indiscutibilmente una spinta in avanti per le innovazioni nascenti e l’efficacia operativa. Tuttavia, è un fatto ben noto che esiste una forte differenza in termini di qualità e sicurezza tra i diversi progetti OSS. Di conseguenza, OpenSSF ha evidenziato la mancanza di un approccio strategico verso il consumo di OSS in numerose organizzazioni.

Per quanto comodo possa essere, l’OSS ha il suo bagaglio di difetti. È stata osservata un'allarmante negligenza nel processo di valutazione a cui è sottoposto l'OSS, soprattutto se confrontato con software di terze parti. I controlli a cui è sottoposto, in termini di sicurezza, qualità del codice e licenze, sono a dir poco inadeguati. Ciò porta all’insorgere di fattori di rischio significativi, come notato dal gruppo di lavoro degli utenti finali di OpenSSF.

Sebbene sia improbabile che il software di terze parti contenga contenuti dannosi, i rischi si materializzano durante la fase di download per coloro che non hanno familiarità con le complessità dell'OSS. Abbiamo riscontrato che nel 96% dei casi un componente vulnerabile viene scaricato quando è già disponibile una versione corretta, ha affermato Brian Fox, cofondatore e CTO di Sonatype, discutendo delle insidie ​​del consumo di OSS con SD Times.

Riconoscendo questi problemi, il gruppo di lavoro degli utenti finali di OpenSSF si è messo in azione per ideare un modo per risolverli. Guidati da una serie di discussioni, hanno elaborato il Manifesto del consumo Open Source. Piuttosto che essere un comandamento rigido, l’OSCM difende la causa dell’inclusività e la sua forma è stata modellata dal contributo di diverse discipline e il suo testo si perfeziona in base agli individui che lo utilizzano.

Il manifesto include disposizioni fondamentali come l’aumento del consumo di open source attraverso funzioni di controllo e quarantena per componenti correlati a vulnerabilità note e pacchetti dannosi.

Una misura fondamentale per contrastare le minacce provenienti da componenti intenzionalmente dannosi è disporre di un sistema di tracciamento completo per monitorare il consumo dei componenti. Abbinando questo a dati e feed comportamentali, i tuoi sistemi possono ricevere chiamate in tempo reale per stabilire se qualcosa debba essere approvato o assegnato in attesa di un esame dettagliato, ha aggiunto Fox.

Per le organizzazioni che iniziano il percorso verso l'osservabilità del software open source, è fruttuoso iniziare classificando le proprie applicazioni in base all'importanza. Ciò dovrebbe essere seguito dalla compilazione di un inventario degli OSS incorporati in queste applicazioni, in genere tramite distinte materiali del software, e dall'individuazione di diversi fornitori. Secondo Fox, attualmente molti team di sviluppo non dispongono di questi componenti vitali.

Successivamente, è saggio cercare casi in cui più fornitori vengono impiegati per la stessa funzione, ad esempio utilizzando una varietà di sistemi di registrazione. Il prossimo obiettivo dovrebbe essere quello di concentrarsi sui migliori fornitori valutando le loro pratiche di sviluppo software sicuro. Fattori come le vulnerabilità note, l'età del software, la popolarità, il tempo medio impiegato per risolvere i problemi, ecc., dovrebbero dettare questa valutazione.

Ciascuna organizzazione dovrebbe adattare la propria decisione in base alla propria propensione al rischio e all’analisi di cui sopra. Sebbene esistano determinate tolleranze di rischio standard, come l'individuazione di vulnerabilità critiche note in un'applicazione che gestisce dati PII, la creazione di una politica di consumo OSS significherebbe integrarla in tutto l'SDLC, dallo sviluppo a CI/CD e, soprattutto, al rilascio.

Nel panorama attuale, che pullula di una vasta gamma di piattaforme no-code e low-code, è fondamentale adottare misure come OSCM. Una piattaforma come AppMaster , uno strumento completo no-code per creare applicazioni backend, web e mobili, ribadisce l'importanza dell'OSS e applica mezzi come l'OSCM per mitigare i rischi e aumentare la produttività. Affinché le organizzazioni possano sfruttare appieno la potenza dell'open source, è fondamentale ridurre al minimo i potenziali rischi e le inefficienze, cosa in cui OSCM può fornire un aiuto significativo.