Szoftverfejlesztés: ingyenesség vagy biztonság?

Nyílt forráskódú komponensek nagyon gyakran kerülnek ingyenes vagy kereskedelmi alkalmazásokba. A fejlesztők azonban sok esetben nem kezelik megfelelően a felmerülő biztonsági kockázatokat.
 

Az alkalmazásfejlesztők többségének körében kedveltek a nyílt forráskódú komponensek, amelyek felhasználásával adott esetben sok munkától kímélhetik meg magukat, miközben a szoftvereik funkcionalitását gyorsabban bővíthetik. Gyakran az egyes alkalmazások több ilyen szoftveres összetevőt is tartalmaznak. Ugyanakkor, ha egy komponens biztonsági rést tartalmaz, akkor az alapvetően befolyásolja a ráépített alkalmazás biztonságát is. Ezért a Sonatype cég a legutóbbi kutatása során elsősorban arra kereste a választ, hogy a fejlesztőcégek milyen körültekintően járnak el a nyílt forráskódú összetevők kiválasztása, felhasználása és frissítése során. Az eredmények sajnos nem túl bíztatóak.

A Sonatype 3500 fejlesztő és mérnök bevonásával végezte el a felmérését, amelyben a szoftverfejlesztési életciklus minden egyes fázisát érintő kérdéseket tett fel. Ezek közül a legérdekesebb, nyilvánosságra hozott eredmények azt mutatják, hogy a nyílt forráskódú komponensek esetében gyakran nincs meg a kellő odafigyelés. Pedig például a Java alapú alkalmazások 80 százaléka tartalmaz ilyen összetevőket. Vagyis igen széles körű problémáról van szó.

A kutatók először arra voltak kíváncsiak, hogy a megkérdezettek milyen módon biztosítják azt, hogy csak megbízható komponenseket használjanak fel a munkájuk során. Kiderült, hogy a válaszadók 24 százaléka kizárólag előzetesen jóváhagyott kódokkal dolgozik. (Az esetükben bizonyítani kell azt, hogy az alkalmazott összetevő nem tartalmaz ismert sérülékenységet.) 44 százalékuknál ugyan vannak erre vonatkozó belső szabályok, de azokat senki nem kéri számon. A többieknél pedig se előírások, se különösebb megfontolások nincsenek e tekintetben, a fejlesztők döntethetnek arról, hogy mit használnak.

 

Forrás: Sonatype

A prioritás megvan, de…

A kutatókban felmerült a kérdés, hogy a fejlesztők az alkalmazásbiztonsági kérdésekhez milyen módon állnak hozzá. A válaszadók 40 százaléka úgy nyilatkozott, hogy prioritást élveznek a biztonsági kérdések, és sok időt szánnak a biztonságos alkalmazásfejlesztésre. A 29 százalékuknál mindez nem követelmény, ők úgy látják, hogy a védelmi kérdésekért alapvetően a biztonsági csoportok felelnek. 26 százalékuk kijelentette, hogy ugyan tisztában van a probléma fontosságával, de nincs ideje ezzel foglalkozni. A többiek pedig nem tekintik releváns szempontnak az alkalmazásbiztonságot.

A fenti, nem túl biztató eredményeket még inkább lehangolóvá teszi az a tény, hogy a Sonatype felmérésében résztvevők 25 százaléka olyan jelentős vállalatoknál dolgozik, mint amilyen például a Netflix, HSBC, FedEx, Disney, Goldman Sachs, Barclays, eBay, GE, Alcatel-Lucent, RSA, Facebook vagy a LinkedIn.

A biztonsági kutatók kitértek arra is, hogy a fejlesztőcégek miként tartják számon az általuk felhasznált szoftveres komponenseket. Ennek kapcsán arra derült fény, hogy a szervezeteknek mindössze a 35 százaléka vezet megfelelő letárt e tekintetben. Ez pedig azért is probléma, mert ha egy összetevőben biztonsági résre derül fény, és egy cég azt sem tudja, hogy azt a komponenst felhasználta, akkor valószínűleg a frissítési folyamtokba is hiba fog csúszni. Sőt rosszabb esetben még csak a sérülékenységek figyelésére sem kerül sor.

Kik felelnek a nyílt forráskódú komponensek biztonságáért?  - Forrás: Sonatype

Mi lehet a megoldás?

A Sonatype néhány jó tanáccsal is szolgált, amelyek megfogadásával a fentiekben vázolt helyzeten lehet javítani. Az első és legfontosabb, hogy megfelelő szabályokat kell kidolgozni a nyílt forráskódú komponensek használatát illetően. Ezeknek ki kell terjedniük a biztonsági, licencelési és architektúrális kérdésekre is. Ezt követően hangsúlyt kell helyezni a policy-k érvényre juttatására valamint a fejlesztők oktatására. Nem utolsó sorban pedig pontos leltárt kell vezetni a felhasznált összetevőkről és azok függőségeiről.