ΕΛ/ΛΑΚ | creativecommons.gr | mycontent.ellak.gr |
freedom

Νέα έρευνα για τις τάσεις  του ανοιχτού κώδικα και τις προκλήσεις ασφάλειας

Το Linux Foundation, σε συνεργασία με το Εργαστήριο για την Επιστήμη της Καινοτομίας στο Χάρβαρντ, παρουσίασε την ολοκληρωμένη μελέτη, “Census III of Free and Open Source Software – Application Libraries (Census III).” Η έκθεση αυτή προσδιορίζει τις πιο ευρέως χρησιμοποιούμενες ς βιβλιοθήκες εφαρμογών  ανοιχτού κώδικα και υπογραμμίζει τη συνεχιζόμενη σημασία της συνεργασίας στο οικοσύστημα ανοιχτού κώδικα.

Με βάση πάνω από 12 εκατομμύρια παρατηρήσεις βιβλιοθηκών FOSS σε εφαρμογές παραγωγής σε περισσότερες από 10.000 εταιρείες, το Census III είναι η πιο εκτεταμένη μελέτη του είδους του μέχρι σήμερα. Υπογραμμίζει τις κρίσιμες τάσεις που διαμορφώνουν το τοπίο ανοιχτού κώδικα και προσφέρει μια λεπτομερή εξέταση της αξίας και των προκλήσεων ασφάλειας του οικοσυστήματος.

Η μελέτη διεξήχθη με την υποστήριξη του Πανεπιστημίου του Χάρβαρντ και κορυφαίων οργανισμών Ανάλυσης Σύνθεσης Λογισμικού (SCA), συμπεριλαμβανομένων των Black Duck, FOSSA, Snyk και Sonatype. Αυτή η συνεργασία αντιπροσωπεύει ένα ορόσημο για την προώθηση της έρευνας ανοιχτού κώδικα, παρέχοντας πολύτιμες γνώσεις σχετικά με την ασφάλεια και την ανάπτυξη λογισμικού ανοιχτού κώδικα.

Βασικά ευρήματα:

Η έκθεση παρέχει μια λεπτομερή ανάλυση των τάσεων και των προκλήσεων που διαμορφώνουν το οικοσύστημα λογισμικού ανοιχτού κώδικα (OSS), τονίζοντας κρίσιμους τομείς για προσοχή και ανάπτυξη:

  • Η αυξανόμενη υιοθέτηση πακέτων ειδικά για τις υπηρεσίες Cloud: Η χρήση πακέτων για συγκεκριμένες υπηρεσίες cloud αυξάνεται, με στοιχεία υψηλής κατάταξης που δεν εντοπιστηκαν στην προηγούμενη έρευνα  Census II.
  • Μετάβαση από την Python 2 στην Python 3: Υπάρχει μια συνεχής μετάβαση από την Python 2 στην Python 3, καταδεικνύοντας τις προκλήσεις της μετάβασης σε νέες εκδόσεις λογισμικού με ασυμβατότητες.
  • Η κυριαρχία των πακέτων Maven, NuGet και Python: Τα πακέτα Maven συνεχίζουν να χρησιμοποιούνται ευρέως και υπάρχει αυξημένη επικράτηση των πακέτων NuGet και Python
  • Αυξημένη υιοθέτηση Rust Components:: Η χρήση components από τα αποθετήρια πακέτων Rust έχει αυξηθεί σημαντικά σε σύγκριση με την προηγούμενη έρευνα, σηματοδοτώντας μια ανταπόκριση της βιομηχανίας σε εmemory safety vulnerabilities.
  • Προσπάθειες για την τυποποίηση των σχημάτων ονομασίας: Υπάρχουν πολλά υποσχόμενες προσπάθειες για την εφαρμογή ενός τυποποιημένου σχήματος ονομασίας για στοιχεία λογισμικού που θα βελτιώσουν την ασφάλεια της εφοδιαστικής αλυσίδας και τις μελλοντικές προσπάθειες απογραφής.
  • Κίνδυνοι ασφάλειας σε μεμονωμένους λογαριασμούς προγραμματιστή: Πολλά από τα κορυφαία πακέτα φιλοξενούνται σε μεμονωμένους λογαριασμούς προγραμματιστή, οι οποίοι συχνά έχουν λιγότερες προστασίες και λιγότερη ευαισθησία από τους λογαριασμούς οργανισμού.
  • The Persistence of Legacy Software: Το λογισμικό παλαιού τύπου παραμένει στον χώρο ανοιχτού κώδικα, καθιστώντας την ασφάλειά του εξίσου σημαντική με τα πακέτα αντικατάστασής τους.

Κορυφαία πακέτα OSS σε όλα τα οικοσυστήματα

Η μελέτη εντόπισε ευρέως χρησιμοποιούμενα πακέτα σε διαφορετικά οικοσυστήματα:

  • Για npm (direct, version-agnostic), το react-dom ήταν στην κορυφή της λίστας.
  • Για μη npm(direct, version-agnostic), το πακέτο Maven org.springframework.boot:spring-boot-starter-web κατατάχθηκε στην υψηλότερη θέση.
  • Για μη npm (direct & indirect, version-agnostic), η πακέτο Go github.com/googleapis/google-cloud-go.
  • Η Log4j-core, μια αξιοσημείωτη βιβλιοθήκη λόγω προηγούμενων τρωτών σημείων, κατετάγη  στην θέση #51 στην κατηγορία non-npm, direct, version-agnostic, υπογραμμίζοντας τη συνεχιζόμενη επικράτηση της παρά τις ανησυχίες για την ασφάλεια.

Συγκέντρωση Αναπτυξιακής Προσπάθειας

Μεταξύ των κορυφαίων 50 έργων χωρίς npm, το 17% διατηρείται από έναν μόνο προγραμματιστή και το 40% από έναν ή δύο προγραμματιστές, αντιπροσωπεύοντας συνολικά πάνω από το 80% των commits. Αυτή η συγκέντρωση αποκαλύπτει την εξάρτηση από έναν μικρό αριθμό συνεργατών για τη διατήρηση κρίσιμου λογισμικού, εγείροντας ανησυχίες σχετικά με τη μακροπρόθεσμη βιωσιμότητα και ασφάλεια αυτών των έργων.

Αυτά τα ευρήματα υπογραμμίζουν την ανάγκη για αυξημένες επενδύσεις στην ασφάλεια του  ανοιχτού κώδικα, υποστήριξη από τους συντελεστές και διαφάνεια της εφοδιαστικής αλυσίδας για την προστασία του μέλλοντος του οικοσυστήματος OSS.

Πηγή άρθρου: https://informationsecuritybuzz.com

Leave a Comment