+7 495 980 0770

Как повысить безопасность Open Source-компонентов?

Популярность свободного программного обеспечения постоянно растет. Поэтому задача повышения безопасности ПО с открытым кодом остается едва ли не самой актуальной, когда речь заходит о распространении Open Source во всех экосистемах. Есть ли решение у этой задачи?

Основные проблемы безопасности компонентов с открытым исходным кодом?

Дмитрий Пятунин, директор по ИТ Oberon:

– Проблемы у ПО с открытым кодом такие же, как и с закрытым. На практике количество ошибок на единицу объема нового кода есть величина практически постоянная. Открытый код дает злоумышленникам возможность проще находить эти ошибки, тогда как ИТ-специалисты занимаются ровно тем же с целью закрытия уязвимостей. В среднем аспект безопасности можно считать уравновешенным.

Еще одной значимой и глобальной проблемой является малая доля специалистов Linux. Отчасти это обусловлено применением продуктов Microsoft в быту, будущий ИТ-специалист использует экосистему западного партнера повсеместно – игры, образование, школьная программа, Интернет.

[...]

Какие из проблем, по вашему мнению, нужно решать в первую очередь?

Дмитрий Пятунин:

– В первую очередь, нужно решать проблему именно грамотного применения ПО. К сожалению, всё еще распространен подход – «поставил, настроил, забыл», в результате в Интернете светятся устройства и серверы с давно не обновляемым кодом и незакрытыми известными уязвимостями.

[...]

Ваши предложения по повышению уровня защищенности Open Source-компонентов?

Дмитрий Пятунин:

– Есть несколько рекомендаций для повышения защищенности Open Source-компонентов:

Применение автоматических тестов на уровне интернет-провайдеров.
Консолидирование данных угроз информационной безопасности.
Применение анализаторов кода для тестирования открытого ПО на уязвимости.
Привлечение профессиональных команд в рамках глобальных проектов.

[...]

Какие форматы взаимодействия ИТ-сообщества для решения данной проблемы вы считаете эффективными?

Дмитрий Пятунин:

– Создание дорожной карты на реализацию комплексных инфраструктурных систем с участием государственных грантов и программ для отечественных инвесторов. Помимо этого, будет целесообразно разработать и внедрить модель финансирования проектов на основе открытого исходного кода для обеспечения реализации стандартов цикла разработки ПО.

Подробнее в материале