В качестве прогрессивного шага к более разумному изложению преимуществ программного обеспечения с открытым исходным кодом (OSS) Фонд безопасности открытого исходного кода (OpenSSF) выпустил Манифест потребления открытого исходного кода (OSCM). Подобно знаменитому Манифесту Agile, OSCM представляет собой документ, подкрепленный основными ценностями и содержащий 15 руководящих принципов, призванных оптимизировать использование открытого исходного кода.
Программное обеспечение с открытым исходным кодом, несомненно, стало стимулом для многообещающих инноваций и повышения операционной эффективности. Однако общепризнанным фактом является то, что между различными проектами OSS существуют резкие различия с точки зрения качества и безопасности. Следовательно, OpenSSF подчеркнул отсутствие стратегического подхода к использованию OSS во многих организациях.
Каким бы удобным ни было OSS, у него есть свой багаж недостатков. В процессе оценки, которому подвергается OSS, наблюдается тревожная халатность, особенно по сравнению со сторонним программным обеспечением. Случаи проверки, которой он подвергается с точки зрения безопасности, качества кода и лицензирования, по меньшей мере, недостаточны. Как отмечает рабочая группа конечных пользователей OpenSSF, это приводит к появлению значительных факторов риска.
Хотя стороннее программное обеспечение вряд ли будет содержать вредоносный контент, риски материализуются на этапе загрузки для тех, кто не знаком с тонкостями OSS. «Мы видели, что в 96% случаев уязвимый компонент загружается, когда уже доступна исправленная версия», — сказал Брайан Фокс, соучредитель и технический директор Sonatype, обсуждая подводные камни использования OSS с SD Times.
Признав эти проблемы, рабочая группа конечных пользователей OpenSSF приступила к действиям, чтобы найти способ исправить это. Руководствуясь серией обсуждений, они разработали Манифест потребления открытого исходного кода. Вместо того, чтобы быть строгой заповедью, OSCM отстаивает идею инклюзивности, и его форма была сформирована с учетом вклада нескольких дисциплин, а его текст совершенствуется в зависимости от людей, использующих его.
Манифест включает в себя такие ключевые положения, как расширение использования открытого исходного кода посредством функций аудита и карантина для компонентов, которые коррелируют с известными уязвимостями и вредоносными пакетами.
Ключевой мерой противодействия угрозам, исходящим от намеренно вредных компонентов, является наличие комплексной системы отслеживания потребления компонентов. Сочетание этого с данными и поведенческими потоками позволяет вашим системам в режиме реального времени принимать запросы о том, следует ли что-то утвердить или зарезервировать для детального изучения, добавил Фокс.
Для организаций, вступающих на путь наблюдения за программным обеспечением с открытым исходным кодом, полезно начать с категоризации своих приложений по важности. За этим следует провести инвентаризацию OSS, встроенной в эти приложения, обычно с помощью спецификаций программного обеспечения, и определить различных поставщиков. По словам Фокса, многие команды разработчиков в настоящее время не имеют этих жизненно важных компонентов.
После этого разумно найти случаи, когда несколько поставщиков используются для выполнения одной и той же функции, например, используя набор систем ведения журналов. Следующим на очереди должно быть сосредоточение внимания на лучших поставщиках путем оценки их методов безопасной разработки программного обеспечения. Эту оценку должны определять такие факторы, как известные уязвимости, возраст программного обеспечения, популярность, среднее время, необходимое для исправления проблем и т. д.
Каждой организации необходимо будет адаптировать свое решение на основе своей собственной склонности к риску и вышеупомянутого анализа. Несмотря на то, что существуют определенные стандартные допуски к риску, такие как обнаружение известных критических уязвимостей в приложении, которое обрабатывает данные PII, создание политики использования OSS будет означать ее интеграцию в SDLC, от разработки до CI/CD и, что наиболее важно, при выпуске.
В нынешней ситуации, которая изобилует разнообразным спектром платформ no-code и low-code, крайне важно принять такие меры, как OSCM. Такая платформа, как AppMaster , комплексный инструмент no-code для создания серверных, веб- и мобильных приложений, подтверждает важность OSS и применяет такие средства, как OSCM, для снижения рисков и повышения производительности. Чтобы организации могли в полной мере использовать возможности открытого исходного кода, крайне важно минимизировать потенциальные риски и неэффективность, в чем OSCM может существенно помочь.
