Устранение уязвимостей в открытом исходном коде


Загрузка с открытым исходным кодом в 2020 году достигнет 1,5 трлн, что является рекордным показателем. В то же время число кибератак, активно нацеленных на проекты с открытым исходным кодом, увеличилось на 430%. Как предприятия реагируют на поток уязвимостей и что влияет на их успех?

За ответами мы обратились к шестому ежегодному отчету Sonatype о состоянии цепочки поставок программного обеспечения, который опирается на общедоступные и частные базы данных, а также данные опросов, предлагает уникальную информацию о состоянии безопасности с открытым исходным кодом и о том, как распространение открытого исходного кода поставило под угрозу глобальную цепочку поставок.

Основными выводами доклада являются:

Удаленная работа не замедляет разработку программного обеспечения: несмотря на глобальные последствия COVID-19, в 2020 году ожидается 1,5 триллиона загрузок компонентов и контейнеров с открытым исходным кодом.

При создании приложений команды разработчиков используют в среднем 135 программных компонентов, из которых 90% имеют открытый исходный код – рекордный показатель.

Открытый исходный код все чаще становится мишенью: в глобальном масштабе 2019 год привел к увеличению на 430% числа кибератак следующего поколения, активно нацеленных на проекты программного обеспечения с открытым исходным кодом.

Распространение открытого исходного кода поставило под угрозу глобальную цепочку поставок. Задача борьбы с уязвимостями ОС ложится на инженеров-программистов, которые теперь сталкиваются с гораздо более тяжелым бременем. 

Чтобы пролить свет на то, как команды разработчиков корпоративного программного обеспечения используют компоненты с открытым исходным кодом, а также на результаты управления производительностью и рисками, которых они достигают, исследовательская группа Sonatype с открытым исходным кодом и безопасностью сотрудничала с доктором Стивеном Магиллом и Джином Кимом, чтобы изучить, как высокоэффективные команды успешно демонстрируют превосходные результаты управления рисками при сохранении высокого уровня производительности.

Их выводы суммируются следующим образом::

[в то время как] противники ускоряются, быстрее лучше для проектов с открытым исходным кодом, и производительность не должна достигаться ценой снижения безопасности на предприятии.

Ответы 679 человек из самых разных отраслевых вертикалей, включая банковское дело, розничную торговлю, здравоохранение и правительство, на опрос с 41 вопросом были проанализированы с помощью кластерного анализа.

Это выявило четыре различные группы:

⊲ Высокие показатели: высокая производительность, отличные результаты управления рисками (N=151)

⊲ Низкие показатели: низкая производительность, плохие результаты управления рисками (N=107)

⊲ Безопасность прежде всего: низкая производительность, отличные результаты управления рисками (N=167)

⊲ Производительность во-первых: высокая производительность, плохие результаты управления рисками (N=103) 

В отчете представлены результаты, свидетельствующие о том, что высокие показатели значительно превосходят низкие показатели в области доставки программного обеспечения и безопасности — они чаще развертываются, быстрее обнаруживают и устраняют уязвимые компоненты OSS, быстрее переводят разработчиков в новые команды и быстрее утверждают новые компоненты OSS для использования. В качестве заключительного бонуса разработчики в высокопроизводительных командах демонстрируют более высокий уровень удовлетворенности работой.


Добавить комментарий