In een stap vooruit in de richting van een verstandiger inkapseling van de voordelen van open source software (OSS), heeft de Open Source Security Foundation (OpenSSF) het Open Source Consumption Manifesto (OSCM) gelanceerd. Het OSCM is, vergelijkbaar met het iconische Agile Manifesto, een document dat wordt versterkt door kernwaarden en bevat 15 leidende principes die zijn ontworpen om het gebruik van open source te stroomlijnen.
Open-sourcesoftware is onbetwist een schot in de roos voor opkomende innovaties en operationele efficiëntie. Het is echter een algemeen erkend feit dat er grote verschillen bestaan in termen van kwaliteit en veiligheid tussen de verschillende OSS-projecten. Bijgevolg heeft de OpenSSF het gebrek aan een strategische aanpak voor het consumeren van OSS bij talloze organisaties benadrukt.
Hoe handig het ook is, de OSS heeft zijn eigen bagage vol gebreken. Er is een alarmerende nalatigheid waargenomen in het evaluatieproces dat OSS ondergaat, vooral in vergelijking met software van derden. De controles waaraan het wordt onderworpen, in termen van veiligheid, codekwaliteit en licenties, zijn op zijn zachtst gezegd ontoereikend. Dit leidt ertoe dat er aanzienlijke risicofactoren binnensluipen, zoals opgemerkt door de OpenSSF End Users Working Group.
Hoewel het onwaarschijnlijk is dat software van derden schadelijke inhoud bevat, ontstaan er risico's tijdens de downloadfase voor degenen die niet bekend zijn met de fijne kneepjes van OSS. We hebben gezien dat 96% van de tijd een kwetsbaar onderdeel wordt gedownload terwijl er al een vaste versie beschikbaar is, zegt Brian Fox, medeoprichter en CTO bij Sonatype, terwijl hij de valkuilen bij OSS-consumptie besprak met de SD Times.
De OpenSSF End Users Working Group onderkende deze problemen en kwam tot actie om een manier te bedenken om dit recht te zetten. Geleid door een reeks discussies kwamen ze met het Open Source Consumption Manifesto. In plaats van een strikt gebod te zijn, verdedigt de OSCM de zaak van inclusiviteit en de vorm ervan is gevormd door de inbreng van verschillende disciplines, en de tekst ervan wordt verfijnd op basis van de individuen die er gebruik van maken.
Het manifest bevat cruciale bepalingen zoals het vergroten van het gebruik van open source door middel van audit- en quarantainefuncties voor componenten die correleren met bekende kwetsbaarheden en schadelijke pakketten.
Een cruciale maatregel om bedreigingen van opzettelijk schadelijke componenten tegen te gaan, is het beschikken over een uitgebreid volgsysteem om het verbruik van componenten te monitoren. Door dit te koppelen aan data- en gedragsfeeds kunnen uw systemen in realtime bepalen of iets moet worden goedgekeurd of geoormerkt in afwachting van gedetailleerd onderzoek, voegde Fox eraan toe.
Voor organisaties die zich op het pad van de waarneembaarheid van open source-software begeven, is het vruchtbaar om te beginnen met het categoriseren van hun applicaties op basis van belangrijkheid. Dit zou moeten worden gevolgd door het opstellen van een inventaris van de OSS die in deze toepassingen is ingebed, meestal via softwarestuklijsten, en het opsporen van verschillende leveranciers. Volgens Fox beschikken nogal wat ontwikkelingsteams momenteel niet over deze essentiële componenten.
Daarna is het verstandig om te zoeken naar gevallen waarin meerdere leveranciers voor dezelfde functie worden ingezet, zoals het gebruik van een assortiment aan logframeworks. De volgende stap zou zich moeten richten op de beste leveranciers door hun veilige softwareontwikkelingspraktijken te beoordelen. Factoren zoals bekende kwetsbaarheden, de leeftijd van de software, populariteit, de gemiddelde tijd die nodig is om problemen te patchen, enz. zouden deze evaluatie moeten dicteren.
Elke organisatie zou haar beslissing moeten afstemmen op haar eigen risicobereidheid en de bovengenoemde analyse. Hoewel er bepaalde standaardrisicotoleranties zijn, zoals het vinden van bekende kritieke kwetsbaarheden in een applicatie die PII-gegevens verwerkt, zou het creëren van een OSS-consumptiebeleid betekenen dat dit in de SDLC moet worden geïntegreerd, van ontwikkeling tot CI/CD, en vooral bij de release.
In het huidige landschap dat wemelt van een breed scala aan no-code en low-code platforms, is het van cruciaal belang om maatregelen als OSCM te nemen. Een platform als AppMaster , een uitgebreide tool no-code om backend-, web- en mobiele applicaties te creëren, herhaalt het belang van OSS en dwingt middelen zoals de OSCM af om risico's te beperken en de productiviteit te verbeteren. Als organisaties de kracht van open source volledig willen benutten, is het essentieel om potentiële risico's en inefficiënties te minimaliseren, iets waar OSCM aanzienlijk bij kan helpen.
