На securitymedia.org опубликована новая статья Андрея Красовского, директора по маркетингу Swordfish Security, на тему как обеспечить безопасность Open Source.
Open Source — это программное обеспечение, исходный код которого распространяется в свободном доступе, разработчики могут изменять и подстраивать его под свои требования и продукты. Открытый код, как правило, не имеет жестких зависимостей от платформы, его можно масштабировать без лицензионных ограничений, если аппаратное обеспечение компании это позволяет. Такое ПО обычно выпускается как общественное достояние или на условиях свободных лицензий, например GNU General Public License или BSD License.
За последние пять лет доля открытого исходного кода (Open Source) в разработке увеличилась с 35% до 75%. ИТ-компании во всем мире все чаще используют его, чтобы сэкономить ресурсы и сократить время вывода продуктов на рынок. У российских организаций открытый код также популярен, а в 2022 году с уходом зарубежных вендоров его востребованность выросла еще больше. Отечественные компании используют ПО на основе Open Source в качестве замены иностранного софта или интегрируют его элементы в свои разработки. При этом, они всегда учитывают то, что у открытого кода немало проблем.
По нашим оценкам, сегодня 33% российского ПО, созданного на базе открытого кода, содержит серьезные уязвимости. Чтобы снизить риски, компаниям нужно проверять сторонние компоненты, прежде чем использовать их в своих продуктах. Для этого можно внедрить программу SBOM (Software Bill of Materials, список всех open source и других сторонних компонент, использующихся в кодовой базе программного продукта).
Статья: Как обеспечить безопасность Open Source? (securitymedia.org)
