OpenSSF เปิดตัวแถลงการณ์การใช้โอเพ่นซอร์สเพื่อเพิ่มประสิทธิภาพการใช้งานซอฟต์แวร์โอเพ่นซอร์ส

ในขั้นตอนที่ก้าวหน้าไปสู่การสรุปประโยชน์ของซอฟต์แวร์โอเพ่นซอร์ส (OSS) อย่างรอบคอบมากขึ้น Open Source Security Foundation (OpenSSF) ได้เปิดตัว Open Source Consumption Manifesto (OSCM) OSCM คล้ายกับ Agile Manifesto ที่เป็นสัญลักษณ์ โดยเป็นเอกสารเสริมด้วยค่านิยมหลักและมีหลักการชี้นำ 15 ประการที่ออกแบบมาเพื่อปรับปรุงการใช้งานโอเพ่นซอร์ส

ซอฟต์แวร์โอเพ่นซอร์สมีส่วนสำคัญอย่างยิ่งในการคิดค้นนวัตกรรมใหม่ๆ และประสิทธิภาพการดำเนินงาน อย่างไรก็ตาม เป็นข้อเท็จจริงที่ทราบกันดีว่ามีความแตกต่างอย่างสิ้นเชิงในด้านคุณภาพและความปลอดภัยในโครงการ OSS ต่างๆ ด้วยเหตุนี้ OpenSSF จึงเน้นย้ำถึงการขาดแนวทางเชิงกลยุทธ์ต่อการใช้ OSS ในองค์กรต่างๆ มากมาย

OSS มีความสะดวกสบายครบครัน OSS มีข้อบกพร่องเป็นของตัวเอง มีการสังเกตความประมาทเลินเล่อที่น่าตกใจในกระบวนการประเมินที่ OSS ดำเนินอยู่ โดยเฉพาะอย่างยิ่งเมื่อเปรียบเทียบกับซอฟต์แวร์ของบริษัทอื่น กรณีของการตรวจสอบอย่างละเอียดในแง่ของความปลอดภัย คุณภาพของโค้ด และการออกใบอนุญาต ยังไม่เพียงพอที่จะพูดให้น้อยที่สุด สิ่งนี้นำไปสู่ปัจจัยเสี่ยงที่สำคัญที่กำลังคืบคลานเข้ามา ดังที่ระบุไว้โดยคณะทำงานผู้ใช้ปลายทางของ OpenSSF

แม้ว่าซอฟต์แวร์ของบริษัทอื่นไม่น่าจะมีเนื้อหาที่เป็นอันตราย แต่ความเสี่ยงก็เกิดขึ้นในระหว่างขั้นตอนการดาวน์โหลดสำหรับผู้ที่ไม่คุ้นเคยกับความซับซ้อนของ OSS เราพบว่า 96% ของเวลามีการดาวน์โหลดส่วนประกอบที่มีช่องโหว่เมื่อมีเวอร์ชันคงที่อยู่แล้ว Brian Fox ผู้ร่วมก่อตั้งและ CTO ของ Sonatype กล่าว โดยหารือเกี่ยวกับข้อผิดพลาดในการใช้ OSS กับ SD Times

เมื่อตระหนักถึงปัญหาเหล่านี้ คณะทำงานผู้ใช้ปลายทางของ OpenSSF จึงได้รับการกระตุ้นให้ดำเนินการเพื่อคิดค้นวิธีการแก้ไขปัญหานี้ พวกเขาได้รับคำแนะนำจากการอภิปรายหลายครั้ง พวกเขาจึงเกิดแถลงการณ์การบริโภคโอเพ่นซอร์ส แทนที่จะเป็นบัญญัติที่เข้มงวด OSCM ให้ความสำคัญกับสาเหตุของการไม่แบ่งแยกและรูปร่างของมันได้รับการหล่อหลอมโดยข้อมูลจากหลายสาขาวิชา และข้อความของมันก็ได้รับการปรับแต่งตามแต่ละบุคคลที่ใช้มัน

แถลงการณ์ประกอบด้วยข้อกำหนดที่สำคัญ เช่น การเพิ่มปริมาณการใช้โอเพ่นซอร์สผ่านฟังก์ชันการตรวจสอบและกักกันสำหรับส่วนประกอบที่เกี่ยวข้องกับช่องโหว่ที่ทราบและแพ็คเกจที่เป็นอันตราย

มาตรการสำคัญในการรับมือกับภัยคุกคามจากส่วนประกอบที่เป็นอันตรายโดยเจตนาคือการมีระบบติดตามที่ครอบคลุมเพื่อติดตามการใช้ส่วนประกอบ การผนวกสิ่งนี้เข้ากับข้อมูลและฟีดพฤติกรรมทำให้ระบบของคุณรับสายแบบเรียลไทม์ว่าบางสิ่งควรได้รับการอนุมัติหรือจัดสรรไว้เพื่อรอการตรวจสอบอย่างละเอียดหรือไม่ Fox กล่าวเสริม

สำหรับองค์กรที่เริ่มต้นบนเส้นทางความสามารถในการสังเกตซอฟต์แวร์โอเพ่นซอร์ส จะมีประโยชน์มากที่จะเริ่มต้นด้วยการจัดหมวดหมู่แอปพลิเคชันตามความสำคัญ ตามด้วยการรวบรวมรายการ OSS ที่ฝังอยู่ในแอปพลิเคชันเหล่านี้ โดยทั่วไปผ่านทางรายการวัสดุซอฟต์แวร์ และระบุซัพพลายเออร์ต่างๆ ปัจจุบันมีทีมพัฒนาเพียงไม่กี่ทีมยังไม่มีองค์ประกอบที่สำคัญเหล่านี้ ตามที่ Fox กล่าว

หลังจากนั้น ก็ควรที่จะค้นหากรณีที่มีการใช้ซัพพลายเออร์หลายรายสำหรับฟังก์ชันเดียวกัน เช่น การใช้เฟรมเวิร์กการบันทึกที่หลากหลาย ลำดับถัดไปควรมุ่งเน้นไปที่ซัพพลายเออร์ที่ดีที่สุดโดยการประเมินแนวทางปฏิบัติในการพัฒนาซอฟต์แวร์ที่ปลอดภัยของพวกเขา ปัจจัยต่างๆ เช่น ช่องโหว่ที่ทราบ อายุของซอฟต์แวร์ ความนิยม เวลาเฉลี่ยที่ใช้ในการแก้ไขปัญหา ฯลฯ ควรเป็นตัวกำหนดการประเมินนี้

แต่ละองค์กรจะต้องปรับการตัดสินใจโดยพิจารณาจากความเสี่ยงที่ยอมรับได้ของตนเองและการวิเคราะห์ที่กล่าวมาข้างต้น แม้ว่าจะมีการยอมรับความเสี่ยงมาตรฐานบางประการ เช่น การค้นหาช่องโหว่ที่สำคัญในแอปพลิเคชันที่จัดการข้อมูล PII การสร้างนโยบายการใช้ OSS จะหมายถึงการบูรณาการทั่วทั้ง SDLC ตั้งแต่การพัฒนาไปจนถึง CI/CD และที่สำคัญที่สุดเมื่อเผยแพร่

ในสภาพแวดล้อมปัจจุบันที่เต็มไปด้วยแพลตฟอร์ม no-code และ low-code ที่หลากหลาย การนำมาตรการเช่น OSCM มาใช้เป็นสิ่งสำคัญ แพลตฟอร์ม เช่น AppMaster ซึ่งเป็นเครื่องมือ no-code ที่ครอบคลุมเพื่อสร้างแบ็กเอนด์ เว็บ และแอปพลิเคชันบนมือถือ ย้ำถึงความสำคัญของ OSS และบังคับใช้วิธีการต่างๆ เช่น OSCM เพื่อลดความเสี่ยงและเพิ่มผลผลิต สำหรับองค์กรที่จะควบคุมพลังของโอเพ่นซอร์สได้อย่างเต็มที่ สิ่งสำคัญคือต้องลดความเสี่ยงและความไร้ประสิทธิภาพที่อาจเกิดขึ้น ซึ่งเป็นสิ่งที่ OSCM สามารถช่วยได้อย่างมาก