Nuovo studio sulla sicurezza aziendale open source

Uno studio della Linux Foundation in collaborazione con la società di sicurezza open source Snyk ha fatto notizia su alcuni media correlati e non, per non dire altro, per quanto riguarda il modello di sviluppo e il suo impatto non solo sulla sicurezza del software, ma nella percezione e interpretazione.

Come per tutti questi studi, le informazioni qui incluse si basano su una serie di interviste con professionisti del settore, in particolare 550 sviluppatori di aziende di varie dimensioni, a cui è stato chiesto quali politiche di sicurezza hanno implementato nelle loro aziende. in relazione al software open source che utilizzano? Qual è la tua percezione su questo tema?

Tutto è un po’ più complicato di quanto sembri a prima vista: meno della metà (49%) dei partecipanti lavora in aziende che non hanno politiche di sicurezza per lo sviluppo di software open source e nella maggior parte di esse (30%) ci non è nemmeno una persona responsabile di quest’area. Ma l’open source non è così sicuro? Di cosa preoccuparsi?

Il fattore di percezione è sempre stato molto rilevante nel campo dell’open source per le caratteristiche intrinseche del modello noto come “legge di Linus”, interpretato dal fondatore dell’Open Source Initiative (OSI) e autore del classico libro “The Cattedrale e Bazar, Eric S. Raymond: con una quantità sufficiente di cimici degli occhi vengono a galla. Naturalmente, questa “legge” funziona solo se qualcuno sta guardando, ricorda su  ZDnet .

C’è anche quell’altra “Legge” di Linus che dice che un bug è un bug, sia che influisca sulla sicurezza o qualcos’altro, anche se di questo si parla meno comunemente. Tuttavia, vale lo stesso perché, dopo tutto, la maggior parte degli occhi nei progetti open source di solito non cercano difetti di sicurezza.

Dov’è la percezione nella ricerca di The Linux Foundation e Snyk? Quasi la metà degli intervistati (41%) non si fida dell’open source quando si tratta di sicurezza, mentre una percentuale maggiore assume una posizione radicalmente opposta, affermando che l’open source che utilizza è molto o estremamente sicuro. Su cosa si basa ogni gruppo per posizionarsi in un modo o nell’altro?

La verità è che non viene chiarito, sebbene posizioni così contrastanti diano spunti di riflessione. In primo luogo, sono professionisti che comprendono la teoria di come funziona lo sviluppo di software open source, in cui, infatti, gli occhi che vedono sono di vitale importanza. Ma un progetto come il kernel Linux utilizzato da molte grandi aziende e organizzazioni in tutto il mondo non è lo stesso di una dipendenza specifica da esso o di un progetto molto più piccolo.

Comunque sia, è un dato di fatto che l’open source per sua stessa natura offre un ulteriore livello di sicurezza rispetto al software proprietario, un livello di trasparenza che può essere molto utile in molti casi, ma anche dannoso in molti altri, appianando l’irresponsabilità decisioni per il bene di “qualcuno lo vedrà e lo risolverà”, in modo da non preoccuparsi del problema e salvare qualcosa.

D’altra parte, è altrettanto vero che lo stesso ecosistema open source sta cambiando mentalità ormai da diversi anni, concentrandosi maggiormente  sui componenti più comunemente utilizzati ,   facendo di più per scoprire vulnerabilità ,   finanziando miglioramenti  e guidando  altri tipi di iniziativa  in la stessa direzione. Molto è stato fatto intorno a Linux e al software open source più popolare nel mondo degli affari, e i suoi frutti sono già lì.

Attenzione, scorri per continuare a leggere

Pertanto, è riconosciuto, ad esempio, che  Linux corregge i suoi difetti di sicurezza più velocemente di Apple e Microsoft  , e mentre ci sono parti che giustamente affermano che il numero di tali difetti è molto più alto in Linux o nell’open source in generale, il che è vero, anche per la trasparenza del modello. Tuttavia, sta diventando sempre più chiaro che la trasparenza non è sufficiente per garantire un ambiente sicuro.

E il fatto è che le vulnerabilità sono comuni in tutti i tipi di software, indipendentemente dal modello su cui è sviluppato, e sebbene l’open source abbia i suoi vantaggi, non è esente dagli stessi problemi che l’industria ha dovuto affrontare. affrontare decenni: è molto importante preoccuparsi della sicurezza senza trasferirla a terzi.

Per quanto riguarda lo studio, fornisce altri dati interessanti, evidenziando, ad esempio, le vulnerabilità che si trovano comunemente nell’applicazione media, il tipo di risposta, o gli strumenti che sono inclusi nel processo, ma l’enfasi sulla Percezione è uno dei i punti chiave a cui vale la pena prestare attenzione.

Per vedere lo studio completo, puoi seguire  questo link  (PDF).