Już od połowy lat 90. środowisko biznesowe interesowało się możliwościami wykorzystania oprogramowania open source. Entuzjazm potencjalnych użytkowników OSS był jednak równoważony przez obawy dotyczące bezpieczeństwa. Przez lata panowało przekonanie, że otwarte oprogramowanie cechuje się niższą jakością w porównaniu do rozwiązań komercyjnych, a co za tym idzie – jest bardziej narażone na usterki i cyberataki.
Dzisiaj takie opinie należą już do rzadkości. Według najnowszych badań aż 73% ekspertów twierdzi, że open source jest bezpieczniejszy od zamkniętego kodu. Na wzrost zaufania do OSS wpływa wiele czynników, a jednym z nich może być SourceMation Index. Jak organizacje ograniczają ryzyka związane z wykorzystaniem tego typu rozwiązań?
Zaufanie przekłada się na wykorzystanie open source w firmach
Wzrost biznesowego znaczenia OSS jest globalnym trendem. Jak wskazuje międzynarodowy raport State of Open Source 2024, na przestrzeni ostatniego roku aż 67% organizacji zwiększyło użycie oprogramowania opartego na otwartym kodzie. Głównymi motywacjami dla użytkowników były brak kosztów licencyjnych (36,6% wskazań), dostęp do funkcji wpływających na szybkość rozwoju (30,7%) oraz stabilność wynikająca z długoterminowego wsparcia społeczności (27,6%).
Ten ostatni czynnik jest jedną z kluczowych kwestii wpływających na wzrost zaufania organizacji do open source. Powszechny dostęp do kodu zwiększa bowiem szansę na identyfikację i naprawę potencjalnych usterek przez jego twórców lub innych użytkowników. Jednak jak wskazuje Dariusz Świąder, Prezes Linux Polska, organizacje zawsze powinny zachowywać czujność przed wdrożeniem nowego oprogramowania.
Badania pokazują zmiany w podejściu rynku do open source. Dziś zdecydowana większość osób rozumie, że darmowe oprogramowanie nie oznacza niskiej jakości, a dawniej można było się spotkać z taką opinią. Cieszy fakt, że rośnie zaufanie do rozwiązań opartych na otwartym kodzie, a wiele osób uważa je nawet za bezpieczniejsze od tych komercyjnych. Musimy jednak pamiętać, że liczba cyberataków stale rośnie. Dlatego nie zawsze należy zachować ostrożność i zwracać baczniejszą uwagę na aspekty cyberbezpieczeństwa. – wyjaśnia Dariusz Świąder, Linux Polska.
Tomasz Dziedzic, Chief Technology Officer w Linux Polska, wskazuje ponadto, że poza standardowymi ryzykami – takimi jak luki w kodzie czy ataki na łańcuch logistyczny oprogramowania – istnieje szereg mniej popularnych zagrożeń.
Zdarza się, że projekty open source, które powinny być stale rozwijane, są zaniedbywane lub porzucane, np. na skutek konfliktu między deweloperami. Dużym problemem są zmiany w licencjach, które ograniczają dostęp do kodu i przez to wpływają niekorzystnie na funkcjonowanie organizacji. Do czynników ryzyka należy zaliczyć również regulacje prawne i sankcje gospodarcze, pod wpływem których twórcy kodu mogą zaprzestać świadczenia usług na terenie danego kraju. Wszystkie te aspekty należy mieć na uwadze, analizując kwestię bezpieczeństwa oprogramowania open source. – dodaje Tomasz Dziedzic, Linux Polska.
Jak organizacje zarządzają ryzykiem IT?
Czy wzrost zaufania do open source wpłynął na podejście do kwestii bezpieczeństwa? Badania nie dostarczają jednoznacznej odpowiedzi na to pytanie.
Najczęściej wdrażaną praktyką w związku z wykorzystaniem przez firmy OSS jest stworzenie wewnętrznych instrukcji, list kontrolnych lub wytycznych dotyczących korzystania z oprogramowania bazującego na otwartym kodzie – taką odpowiedź wskazało 42% badanych. Formalny proces oceny komponentów OSS przeprowadza co trzecia firma, natomiast szkolenia programistyczne dotyczące bezpiecznego tworzenia oprogramowania są zalecane, w co czwartej. Jedna na pięć organizacji korzysta z pomocy zewnętrznych ekspertów w celu określenia, z jakich komponentów powinna korzystać. Co zaskakujące, aż 21% ankietowanych przyznało, że nie stosuje żadnej z wyżej wymienionych praktyk zarządzania ryzykiem.
Sytuacja wygląda nieco lepiej w przypadku doraźnych środków ostrożności podejmowanych przed wdrożeniem nowych komponentów OSS. Organizacje korzystają z różnych sposobów oceny wiarygodności, jakości i bezpieczeństwa. Najczęściej sprawdzanymi aspektami są poziom aktywności społeczności projektowej (54% wskazań), statystyki pobrań pakietów (43%) oraz częstotliwość aktualizacji (41%). Badanie bezpośrednich zależności kodu przeprowadza 38% organizacji, a co trzecia korzysta ze zautomatyzowanych narzędzi do oceny rozwiązań, które planuje wdrożyć.
Jak wskazują eksperci Linux Polska, to nadal za mało. Organizacje powinny w sposób proaktywny podchodzić do kwestii ryzyka i zarządzać nim w sposób systemowy. Na ryku dostępne są rozwiązania, które umożliwiają skuteczną realizację takiego podejścia. Jednym z nich jest SourceMation Index, który dostarcza organizacjom danych, które mogą one wykorzystać do bardziej precyzyjnej oceny ryzyka zastosowania wybranego oprogramowania.
Analiza ryzyka nie powinna ograniczać się jedynie do standardowej oceny luk w kodzie, szczególnie że oprogramowanie open source jest również wykorzystywane w sektorach kluczowych dla bezpieczeństwa kraju, np. publicznym lub finansowym. Nie powinna również uwzględniać kilku wybranych aspektów wpływających na bezpieczeństwo informatyczne. Do tego tematu należy podejść przekrojowo: od analizy składu oprogramowania, przez zagrożenia związane z jego rozwojem i utrzymaniem, aż po zgodność z polskimi i europejskimi wytycznymi dotyczącymi cyberbezpieczeństwa. – tłumaczy Tomasz Dziedzic.
Poza oceną każdego z tych czynników osobno ważne jest również badanie zależności między nimi. I właśnie na to zwracamy szczególną uwagę w naszym autorskim systemie analizy ryzyka oprogramowania – SourceMation – zawierającego projekty oparte na otwartym kodzie źródłowym. Celem, do którego dążymy, jest umożliwienie organizacjom oceny skumulowanego ryzyka i zdobycia pełnej informacji o potencjalnych zagrożeniach. Aktualnie platforma jest upubliczniona i można już z niej korzystać. – dodaje Dariusz Świąder.
Podsumowanie
Coraz więcej organizacji korzysta z oprogramowania open source i uważa je za bezpieczniejsze od rozwiązań komercyjnych. Przed wdrożeniem nowych komponentów OSS stosowane są różne metody ich oceny, ale nadal co dziesiąta firma nie podejmuje żadnych środków bezpieczeństwa, a co piąta nie wdrożyła najpopularniejszych praktyk zarządzania ryzykiem. Eksperci wskazują, że pełne bezpieczeństwo może zapewnić dopiero przekrojowa analiza wszystkich czynników ryzyka i zależności między nimi. W sposób automatyczny czyni to właśnie wyżej wspomniana platforma SourceMation.