Το Linux είναι παντού. Είναι αυτό που τρέχουν όλες οι υποδομές Cloud, ακόμη και το Microsoft Azure . Είναι αυτό που κάνει και τους 500 κορυφαίους υπερυπολογιστές να λειτουργούν. Aκόμη το Linux για επιτραπέζιους υπολογιστές αυξάνεται αν μπορείτε να πιστέψετε το Pornhub, το οποίο ισχυρίζεται ότι οι χρήστες Linux αυξήθηκαν κατά 28% , ενώ οι χρήστες Windows μειώθηκαν κατά 3%.
Το λογισμικό ανοιχτού κώδικα αυξάνεται επίσης με άλματα και όρια. Σύμφωνα με το Hype Cycle της Gartner 2021 για Λογισμικό Ανοιχτού Κώδικα (OSS) : “Μέχρι το 2025, περισσότερο από το 70% των επιχειρήσεων θα αυξήσουν τις δαπάνες πληροφορικής τους για OSS, σε σύγκριση με τις τρέχουσες δαπάνες τους για ΙΤ. Επιπλέον, έως το 2025, το λογισμικό ως υπηρεσία ( SaaS) θα γίνει το προτιμώμενο μοντέλο κατανάλωσης για το OSS λόγω της ικανότητάς του να παρέχει καλύτερη λειτουργική απλότητα, ασφάλεια και επεκτασιμότητα».
Όσον αφορά τις βάσεις δεδομένων, η Gartner προβλέπει ότι πάνω από το 70% των νέων εσωτερικών εφαρμογών θα αναπτυχθούν σε βάση δεδομένων ανοιχτού κώδικα. Ταυτόχρονα, το 50% των υφιστάμενων ιδιόκτητων περιπτώσεων σχεσιακής βάσης δεδομένων θα έχει μετατραπεί ή θα μετατραπεί σε DBMS ανοιχτού κώδικα.
Αλλά με την μεγάλη δύναμη έρχεται η και μεγάλη ευθύνη, όπως λέει και ο Spider-Man. Και έρχεται επίσης με μεγάλους πονοκεφάλους, όπως ανακάλυψαν πρόσφατα πολλοί προγραμματιστές, όταν ανακαλύφθηκαν πολλαπλές ευπάθειες ασφαλείας με τη βιβλιοθήκη ανοιχτού κώδικα Log4j2 Apache Java.
Tο πραγματικό της πρόβλημα βέβαια, δεν είναι τόσο πολύ με τον ίδιο τον ανοιχτό κώδικα. Δεν υπάρχει τίποτα μαγικό σχετικά με τη μεθοδολογία και την ασφάλεια ανοιχτού κώδικα . Τα λάθη ασφαλείας μπορούν να υπαρχουν σε κάθε κώδικα.
Ο νόμος του Linus “είναι ότι με αρκετά μάτια, όλα τα σφάλματα είναι ορατά.” Αλλά αν δεν τις αναζητούν αρκετοί προγραμματιστές, οι ευπάθειες ασφαλείας θα εξακολουθήσουν να περνούν απαρατήρητες. Όπως λέει και ο νόμος του Schneier, “η ασφάλεια είναι μια διαδικασία, όχι ένα προϊόν .” Αυτό αποκαλύπτει ότι απαιτείται συνεχής επαγρύπνηση για την ασφάλεια όλου του λογισμικού.
Όπως εξήγησε πρόσφατα ο Josh Bressers, αντιπρόεδρος ασφαλείας της Anchore, “Μία από τις προκλήσεις που θέτει η ευπάθεια log4j είναι η εύρεση της. Οι εφαρμογές Java και οι εξαρτήσεις είναι συνήθως σε κάποιο είδος μορφής συσκευασίας που κάνει τη διανομή και την εκτέλεση πολύ εύκολη. αλλά μπορεί να καταστήσει δύσκολο να καταλάβουμε τι υπάρχει μέσα σε αυτά τα πακέτα λογισμικού».
Ευτυχώς, υπάρχουν αρκετοί σαρωτές log4j που μπορούν να σας βοηθήσουν να εντοπίσετε ελαττωματικές βιβλιοθήκες log4j που χρησιμοποιούνται. Όμως, δεν είναι τέλειοι.
Πίσω από το χάος του log4j υπάρχει ένα άλλο πρόβλημα: Πώς ξέρετε ποια στοιχεία ανοιχτού κώδικα χρησιμοποιεί το λογισμικό σας; Για παράδειγμα, το log4j2 χρησιμοποιείται από το 2014. Δεν μπορείτε να περιμένετε από κανέναν να θυμάται αν χρησιμοποίησε αυτή την πρώτη έκδοση σε κάποιο πρόγραμμα που εξακολουθείτε να χρησιμοποιείτε σήμερα.
Η απάντηση είναι αυτή που η κοινότητα ανοιχτού κώδικα άρχισε να λαμβάνει σοβαρά υπόψη τα τελευταία χρόνια: Η δημιουργία Software Bills of Material (SBOM). . Ένα SBOM ορίζει ακριβώς ποιες βιβλιοθήκες λογισμικού, ρουτίνες και άλλος κώδικας έχουν χρησιμοποιηθεί σε οποιοδήποτε πρόγραμμα. Οπλισμένοι με αυτό, μπορείτε να εξετάσετε ποιες εκδόσεις στοιχείων χρησιμοποιούνται στο πρόγραμμά σας.
Όπως εξήγησε ο David A. Wheeler, Director of Open Source Supply Chain Security του Linux Foundation , χρησιμοποιώντας SBOM και επαληθευμένες αναπαράξιμες εκδόσεις , μπορείτε να βεβαιωθείτε ότι γνωρίζετε τι υπάρχει στα προγράμματά σας. Με αυτόν τον τρόπο, εάν εντοπιστεί μια τρύπα ασφαλείας σε ένα στοιχείο, μπορείτε απλώς να το επιδιορθώσετε αντί να αναζητήσετε ως μανιακοί όλο τον κώδικα προτού μπορέσετε να το διορθώσετε.
“Μια αναπαράξιμη έκδοση”, εξηγεί ο Wheeler, είναι “που παράγει πάντα τα ίδια outputs εξόδους με τα ίδια inputs, έτσι ώστε τα αποτελέσματα της έκδοσης να μπορούν να επαληθευτούν. Μια επαληθευμένη αναπαράξιμη έκδοση είναι μια διαδικασία όπου ανεξάρτητοι οργανισμοί παράγουν μια έκδοση από τον πηγαίο κώδικα και επαληθεύουν ότι τα ενσωματωμένα αποτελέσματα προέρχονται από τον ισχυριζόμενο πηγαίο κώδικα.”
Το 2022, οι προγραμματιστές ανοιχτού κώδικα θα ξοδέψουν πολύ χρόνο για να ελέγξουν τον κώδικά τους για προβλήματα και στη συνέχεια να δημιουργήσουν SBOM που βασίζονται σε SPDX. Οι χρήστες, που ανησυχούν για καταστροφές τύπου Solarwind και προβλήματα ασφάλειας όπως το log4j, θα το απαιτήσουν.
Πηγή άρθρου: https://www.zdnet.com/