O ανοιχτός κώδικας χρησιμοποιείται όλο και περισσότερο ως ένας συνδυασμός συστατικών ή εργαλείων σε ένα λογισμικό. Πλέον αποτελεί βασικό τμήμα στα DevOps και στα cloud-native περιβάλλοντα και βρίσκεται στο root πολλών server και συστημάτων. Υπό κανονικές συνθήκες, αυτή η συχνότητα θα έπρεπε να ελαχιστοποιεί τις απειλές που συνεπάγεται η χρήση ανοιχτού κώδικα από οργανώσεις ή εταιρείες.
Αξίζει να αναφερθούν ορισμένοι από τους πιο σημαντικές και κοινές απειλές που μπορεί να κρύβει η χρήση ανοιχτού κώδικα λογισμικού. Υπάρχουν βέβαια μέθοδοι οι οποίες μπορούν να διασφαλίσουν την ασφάλεια κατά τη χρήση ανοιχτού κώδικα λογισμικού και, επομένως, να μειώσουν σε σημαντικό βαθμό τους ενδεχόμενους κινδύνους.
Ένα σημαντικό βήμα για την πιο αποτελεσματική εξασφάλιση των στοιχείων και των συστημάτων μίας οργάνωσης ή εταιρείας είναι η κατανόηση και η αντίληψη των κινδύνων που συνεπάγεται η χρήση ανοιχτού κώδικα λογισμικού. Δεν πρόκειται για κινδύνους που σχετίζονται μόνο με μεμονωμένες ατομικές ευπάθειες.
Ο κοινοτικός χαρακτήρας του ανοικτού κώδικα λογισμικού επιφυλάσσει για τις οργανώσεις και τις εταιρείες απειλές που σχετίζονται με την εγκατάλειψη ενός project. Οι συντηρητές ανοιχτού κώδικα λογισμικού λειτουργούν συνήθως εθελοντικά και τα projects ανοιχτού κώδικα δεν αποτελούν βασική τους προτεραιότητα. Εάν αυτοί οι εθελοντές παύουν να ενδιαφέρονται για ένα project ή δεν μπορούν να συνεισφέρουν σε αυτό με άλλο τρόπο, η ανάπτυξη του project μπορεί να σταματήσει ξαφνικά.
Η παραβίαση της πνευματικής ιδιοκτησίας είναι ένας άλλος κίνδυνος που πηγάζει από την κοινοτική προμήθεια. Παρόλο που οι υπεύθυνοι διαχείρισης projects έχουν τον έλεγχο του κώδικα που εισάγεται σε ένα project, δε γνωρίζουν απαραίτητα εάν ο κώδικας που παρέχεται από άλλους είναι αποκλειστικός.
Επίσης, αν ένα project προορίζεται για προσωπική χρήση, ο δημιουργός μπορεί να αποφάσισε να αγνοήσει την άδεια. Ή, μπορεί να έχει χρησιμοποιήσει κώδικα που ήταν διαθέσιμος μόνο για προσωπική χρήση.
Οι ευπάθειες ανοικτού κώδικα λογισμικού γίνονται γνωστές στο κοινό, συνήθως ανάμεσα σε 30 έως 90 ημέρες μετά την ανακάλυψη μιας ευπάθειας. Στην καλύτερη περίπτωση, αυτό δίνει στις κοινότητες και τους χρήστες αρκετό χρόνο για να αναπτύξουν ένα σύνολο διορθώσεων και να το εφαρμόσουν. Σε περίπτωση που τα συστήματα δεν υποστούν διορθώσεις άμεσα, θα παραμείνουν ευάλωτα και εύκολος στόχος παραβίασης από τους χάκερς. Αποτελεί σύνηθες φαινόμενο για τους χάκερς να φέρνουν στο φως της δημοσιότητας πληροφορίες περί ευπάθειας και να αναζητούν communities που βρίσκονται πίσω από την διόρθωση.
Έτσι οι χάκερς ενημερώνονται με ακρίβεια σχετικά με το πώς τα συστήματα μίας οργάνωσης ή εταιρείας είναι ευάλωτα και ακόμη και με το πώς να εκτελέσουν μια επίθεση, καθιστώντας τη δουλειά τους εύκολη.
Ακόμη, με την αντιγραφή ανοιχτού κώδικα ή κομμάτια κώδικα χωρίς γνώση του τί ακριβώς αντιγράφεται είναι πιθανό να εισαχθούν σφάλματα. Οι βιβλιοθήκες και τα εργαλεία συχνά περιλαμβάνονται σε μαύρο κουτί, με ελάχιστη κατανόηση του τρόπου λειτουργίας των στοιχείων. Αυτό είναι ιδιαίτερα προβληματικό όταν λαμβάνεται μόνο ένα μέρος του κώδικα.
Γενικά είναι απαραίτητη η γνώση του τρόπου λειτουργίας ενός κώδικα για να μπορέσουν να εντοπιστούν πιθανά σφάλματα.
Παρόλα αυτά, υπάρχουν ορισμένες μέθοδοι με τις οποίες μπορούν να αντιμετωπιστούν οι απειλές που δημιουργούνται από τη χρήση εφαρμογών και πηγών ανοιχτού κώδικα.
H πρώτη μέθοδος είναι η παρακολούθηση και ο έλεγχος των τροφοδοσιών ευπάθειας και των βάσεων δεδομένων καθώς οι διαχειριστές projects ανοιχτού κώδικα συνήθως δεν ενημερώνουν τους χρήστες για θέματα ευπάθειας. Επομένως είναι στην ευθύνη κάθε οργάνωσης να παρακολουθεί και να λαμβάνει πληροφορίες ευπάθειας από άλλες πηγές. Υπάρχει μια ποικιλία πηγών που μπορούν να παρέχουν πληροφορίες σε πραγματικό χρόνο και συνήθως περιλαμβάνουν λεπτομέρειες σχετικά με τα ευάλωτα συστήματα και τα βήματα αποκατάστασης.
Ορισμένες καλές πηγές είναι οι ακόλουθες:
Εθνική Βάση Δεδομένων Ευπάθειας (NVD)
Άνοιγμα έργου ασφαλείας εφαρμογών ιστού (OWASP)
Ακόμη, πρέπει να παρακολουθούνται τα εξαρτήματα ανοικτής πηγής που χρησιμοποιούνται και να διασφαλίζεται ότι παραμένουν ενημερωμένα. Ο ευκολότερος τρόπος για να γίνει αυτό είναι με τα εργαλεία ανάλυσης σύνθεσης λογισμικού (SCA). Τα εργαλεία της SCA μπορούν να καταγράψουν στοιχεία, να ανιχνεύσουν ενημερώσεις και ενημερώσεις κώδικα και να σας προειδοποιήσουν όταν τα στοιχεία δεν είναι ενημερωμένα. Αυτά τα εργαλεία συνήθως ενσωματώνουν ή μπορούν να ενσωματώσουν τις τροφοδοσίες που παρακολουθούνται ήδη. Σε αντίθεση με το ιδιόκτητο λογισμικό, οι ενημερώσεις δεν θα ωθηθούν στην οργάνωση-εταιρεία, επομένως είναι δική τους ευθύνη να τραβήξουν τις ενημερώσεις κώδικα. Επιπλέον, οι ενημερώσεις κώδικα πρέπει να εφαρμόζονται όσο το δυνατόν συντομότερα. Μία ακόμη μέθοδος που πρέπει να ακολουθεί μία οργάνωση είναι να ελαχιστοποιήσει τις εξαρτήσεις της. Όταν αποφασίζει ποια εξαρτήματα ανοιχτού κώδικα πρέπει να συμπεριλάβει στα συστήματά της, πρέπει να προσπαθεί να ελαχιστοποιήσει τις εξαρτήσεις της όσο το δυνατόν περισσότερο. Αν χρησιμοποιεί την ίδια εξάρτηση σε πολλά projects, πρέπει να χρησιμοποιεί την ίδια έκδοση. Αυτό την διευκολύνει να διατηρεί τα εξαρτήματα ενημερωμένα και να ελαχιστοποιεί τα προβλήματα συμβατότητας. Θα πρέπει επίσης να να χρησιμοποιεί εργαλεία που δεν βασίζονται σε υπερβολικές εξαρτήσεις. Κάθε εξάρτηση προσθέτει απειλές και μπορεί να αποτελεί ένδειξη κακής ποιότητας του προϊόντος, ιδιαίτερα εάν οι βιβλιοθήκες χρησιμοποιούνται για λειτουργίες εύχρηστου κώδικα. Οι εφαρμογές και οι πηγές ανοιχτού κώδικα μπορούν να ωφελήσουν ιδιαίτερα τις οργανώσεις και τα άτομα, υπό την προϋπόθεση ότι χρησιμοποιούνται προσεκτικά.
