ความปลอดภัยของโอเพ่นซอร์สไม่ควรเข้มงวดขนาดนั้น

ความปลอดภัยของโอเพ่นซอร์สไม่ควรเข้มงวดขนาดนั้น

เนื่องจากบริษัทต่างๆ พึ่งพาซอฟต์แวร์ฟรีและโอเพ่นซอร์ส (FOSS) มากขึ้น การรักษาความปลอดภัยจึงตกอยู่ในความเสี่ยงโดยไม่จำเป็น

นั่นเป็นไปตามรายงานล่าสุด (เปิดในแท็บใหม่) จาก บริษัท รักษาความปลอดภัยห่วงโซ่อุปทานซอฟต์แวร์ Sonatype ซึ่งวาดภาพที่น่ากลัวของประเภทของ บริษัท ซอฟต์แวร์โอเพ่นซอร์สที่ใช้ซึ่งอาจเป็นวิธีการลดต้นทุนซอฟต์แวร์

ตามรายงาน State of the Software Supply Chain ของบริษัท ปัจจุบันเป็นปีที่แปด นักพัฒนาดาวน์โหลดการพึ่งพาที่มีช่องโหว่ 1.200 พันล้านรายการทุกเดือน และ 96% มีทางเลือกที่ไม่มีช่องโหว่ในจำนวนนี้

การโจมตีห่วงโซ่อุปทาน OSS ที่เพิ่มขึ้น

การโจมตีที่เก็บข้อมูลโอเพ่นซอร์สที่ดาวน์โหลดและรวมเข้ากับซอฟต์แวร์ขององค์กรเป็นตัวอย่างที่ชัดเจนของการโจมตีทางไซเบอร์ในห่วงโซ่อุปทาน

ด้วยการเปลี่ยนแปลงการพึ่งพาประมาณ 1500 รายการต่อแอปพลิเคชันในแต่ละปี การรักษาระบบนิเวศโอเพ่นซอร์สจะสร้างแรงกดดันอย่างมากต่อนักพัฒนาและข้อผิดพลาดจะเกิดขึ้นเสมอ

อาจเป็นผลให้ Sonatype รายงานว่ากิจกรรมทางไซเบอร์ประเภทนี้เพิ่มขึ้นอย่างมาก โดยเพิ่มขึ้น 633% เมื่อเทียบเป็นรายปี

อย่างไรก็ตาม เขาเชื่อว่ามีทางแก้ไข โดยหลักแล้ว ให้ลดการพึ่งพาและเร่งความเร็วการอัปเดตซอฟต์แวร์บนเอ็นด์พอยท์ นอกจากนี้ยังแนะนำให้ผู้เชี่ยวชาญด้านวิศวกรรมตระหนักถึงการพึ่งพา FOSS ที่มีช่องโหว่

Sonatype พบว่ามากกว่าสองในสาม (68%) มั่นใจว่าแอปพลิเคชันของตนไม่ได้ใช้ไลบรารีที่มีช่องโหว่ แม้ว่าแอปพลิเคชันระดับองค์กร (68%) จะมีช่องโหว่ที่รู้จักในส่วนประกอบซอฟต์แวร์โอเพ่นซอร์สในเปอร์เซ็นต์เดียวกันก็ตาม

นอกจากนี้ ผู้ดูแลระบบไอทีมีแนวโน้มที่จะเชื่อว่าบริษัทของตนจัดการปัญหาซอฟต์แวร์เป็นประจำในระหว่างขั้นตอนการพัฒนามากกว่าสองเท่าของการรักษาความปลอดภัยด้านไอที

สำหรับ Sonatype บริษัทต่างๆ จำเป็นต้องทำให้กระบวนการพัฒนาซอฟต์แวร์ง่ายขึ้นและคล่องตัวด้วยเครื่องมือที่ชาญฉลาดขึ้น มองเห็นได้มากขึ้น และระบบอัตโนมัติที่ดีขึ้น

การโจมตีห่วงโซ่อุปทานเป็นหนึ่งในเหตุการณ์ทางไซเบอร์ที่ร้ายแรงที่สุดในช่วงไม่กี่ปีที่ผ่านมา รวมถึงเหตุการณ์ที่เกิดจากช่องโหว่ log4j และการประนีประนอมของ SolarWinds แม้แต่ทุกวันนี้ อาชญากรไซเบอร์ยังประนีประนอมองค์กรทุกขนาดและรูปร่างโดยใช้ข้อบกพร่อง log4j

ผ่าน VentureBeat (เปิดในแท็บใหม่)