Wykonując stopniowy krok w kierunku bardziej rozsądnego ujęcia korzyści płynących z oprogramowania typu open source (OSS), fundacja Open Source Security Foundation (OpenSSF) opublikowała Manifest konsumpcji oprogramowania open source (OSCM). Podobnie jak kultowy Manifest Agile, OSCM jest dokumentem wzmocnionym podstawowymi wartościami i zawiera 15 zasad przewodnich mających na celu usprawnienie wykorzystania oprogramowania open source.
Oprogramowanie typu open source bez wątpienia było strzałem w dziesiątkę, jeśli chodzi o obiecujące innowacje i efektywność operacyjną. Jednakże powszechnie znanym faktem jest, że pomiędzy różnymi projektami OSS występują znaczne różnice pod względem jakości i bezpieczeństwa. W rezultacie OpenSSF uwydatniło brak strategicznego podejścia do korzystania z OSS w wielu organizacjach.
Choć pełen wygody, OSS ma swój własny bagaż wad. Zaobserwowano niepokojące zaniedbania w procesie oceny, któremu poddawany jest OSS, zwłaszcza w porównaniu z oprogramowaniem stron trzecich. Przypadki kontroli, jakim jest poddawany pod kątem bezpieczeństwa, jakości kodu i licencjonowania, są, delikatnie mówiąc, niewystarczające. Prowadzi to do wkradania się znaczących czynników ryzyka, jak zauważyła Grupa Robocza Użytkowników Końcowych OpenSSF.
Chociaż jest mało prawdopodobne, aby oprogramowanie innych firm zawierało złośliwą zawartość, ryzyko materializuje się w fazie pobierania w przypadku osób niezaznajomionych ze zawiłościami OSS. Zaobserwowaliśmy, że w 96% przypadków podatny na ataki komponent jest pobierany, gdy jest już dostępna poprawiona wersja, powiedział Brian Fox, współzałożyciel i dyrektor ds. technicznych w firmie Sonatype, omawiając z SD Times pułapki związane z używaniem OSS.
Dostrzegając te problemy, Grupa Robocza Użytkowników Końcowych OpenSSF została zmotywowana do działania w celu opracowania sposobu naprawienia tego problemu. Kierując się serią dyskusji, opracowali Manifest konsumpcji otwartego oprogramowania. Zamiast być ścisłym przykazaniem, OSCM opowiada się za przyczyną inkluzywności, a jej kształt został ukształtowany na podstawie wkładu kilku dyscyplin, a jego tekst jest udoskonalany w oparciu o osoby, które z niego korzystają.
Manifest zawiera kluczowe postanowienia, takie jak zwiększenie wykorzystania oprogramowania typu open source poprzez funkcje audytu i kwarantanny dla komponentów, które są powiązane ze znanymi lukami w zabezpieczeniach i szkodliwymi pakietami.
Kluczowym środkiem przeciwdziałania zagrożeniom ze strony celowo szkodliwych komponentów jest posiadanie kompleksowego systemu śledzenia umożliwiającego monitorowanie zużycia komponentów. W połączeniu z danymi i kanałami behawioralnymi Twoje systemy mogą w czasie rzeczywistym sprawdzać, czy coś powinno zostać zatwierdzone lub przeznaczone do czasu szczegółowej kontroli, dodał Fox.
Organizacjom rozpoczynającym drogę obserwowalności oprogramowania typu open source warto zacząć od kategoryzowania aplikacji według ważności. Następnie należy sporządzić spis OSS wbudowanych w te aplikacje, zwykle za pomocą zestawień materiałów oprogramowania i wyszukać różnych dostawców. Według Foxa kilka zespołów programistów nie ma obecnie tych kluczowych komponentów.
Następnie mądrze jest wyszukać przypadki, w których do tej samej funkcji zatrudnionych jest wielu dostawców, na przykład przy użyciu różnych platform rejestrowania. Następny w kolejce powinien skupić się na najlepszych dostawcach, oceniając ich praktyki tworzenia bezpiecznego oprogramowania. Czynniki takie jak znane luki w zabezpieczeniach, wiek oprogramowania, popularność, średni czas potrzebny na załatanie problemów itp. powinny decydować o tej ocenie.
Każda organizacja musiałaby dostosować swoją decyzję w oparciu o własny apetyt na ryzyko i wspomnianą analizę. Chociaż istnieją pewne standardowe tolerancje ryzyka, takie jak znajdowanie znanych krytycznych luk w zabezpieczeniach aplikacji obsługującej dane PII, utworzenie polityki wykorzystania OSS oznaczałoby zintegrowanie jej w ramach SDLC, od rozwoju po CI/CD, a co najważniejsze w momencie wydania.
W obecnym krajobrazie, który obfituje w różnorodną gamę platform no-code i low-code, kluczowe znaczenie ma przyjęcie środków takich jak OSCM. Platforma taka jak AppMaster , wszechstronne narzędzie no-code, umożliwiające tworzenie aplikacji backendowych, internetowych i mobilnych, ponownie podkreśla znaczenie OSS i wymusza stosowanie środków takich jak OSCM w celu ograniczenia ryzyka i zwiększenia produktywności. Aby organizacje mogły w pełni wykorzystać moc otwartego oprogramowania, konieczne jest zminimalizowanie potencjalnego ryzyka i nieefektywności, w czym OSCM może znacząco pomóc.
