Tidelift’e göre, modern kuruluşların bel bağladığı açık kaynaklı yazılımların güvenliğini sağlamak, özellikle yazılım tedarik zincirine yönelik saldırılar giderek yaygınlaştığından, açık kaynak bakımcılarının çok önemli bir sorumluluğudur.
Açık kaynak yazılım güvenliği
Yanıt olarak, ABD hükümeti, NIST Güvenli Yazılım Geliştirme Çerçevesinde güvenli geliştirme en iyi uygulamalarının kodlanmasına yol açan Beyaz Saray Kararnamesi 14028: Ulusun Siber Güvenliğinin Geliştirilmesi ile başlayarak büyük ölçekli bir siber güvenlik girişimi başlattı.
Daha yakın zamanlarda, Ulusal Siber Güvenlik Stratejisi, hükümetin yazılım üreticilerini önlenebilir güvenlik açıklarının neden olduğu zararlardan sorumlu tutma ve güvenli yazılım geliştirme uygulamalarını izlediklerini gösterebilen kuruluşlara sorumluluk korumaları sunma niyetiyle, yazılım güvenliği yükümlülüğü için yeni bir emsal teşkil ediyor.
Aynı zamanda, endüstri liderleri, açık kaynak yazılım güvenliğini iyileştirecek en iyi uygulamaları ve standartları belirlemek için bir araya geldi; Open Software Security Foundation (OSSF) Puan Kartları Projesi ve Software Artifacts Framework (SLSA) için Tedarik Zinciri Düzeyleri gibi.
Açık kaynak bakımcıları, standartları karşılamak için ek işler üstlenir
300’den fazla bakımcının (açık kaynak yazılım projelerini oluşturan ve sürdüren kişiler) anket yanıtlarını analiz ederken, ortak nokta, bakım uzmanlarından hükümet ve endüstri standartlarını karşılamak için ek işler almalarının istenmesi ve bu kişiler hakkında daha fazla bilgi edinmek için giderek daha fazla motive olmalarıdır. bu standartları ve işi yapacak kaynaklara ve tazminata sahiplerse bunları paketlerine nasıl uygulayacaklarını.
Şu anda durum böyle değil, çünkü bakımcıların %60’ı kendilerini ücretsiz hobi olarak tanımlarken, yalnızca %13’ü kendilerini gelirlerinin çoğunu veya tamamını proje sürdürmekten kazanan profesyonel bakımcılar olarak tanımlıyor.
CEO Donald Fischer, “Neredeyse tüm kuruluşlar uygulamalarında büyük ölçüde açık kaynağa güvendiğinden, bu yeni veriler, hepimizin bağlı olduğu kritik açık kaynak bileşenlerinin sağlığından ve güvenliğinden sorumlu bakım yapanları destekleme ve telafi etme ihtiyacını gösteriyor” dedi. , Gelgit asansörü.
“Sürdürücüler, projelerini güvende tutmaktan ve yeni standartlara bağlı kalmaktan sorumlu tutuluyor, ancak genellikle, yapmaları istenen ek iş için tanınmamakta veya bunlara ödeme yapılmıyor. Bu tutarsızlığı ele alarak, bakımcıların hükümete ve endüstriye güç veren açık kaynaklı yazılım tedarik zincirinin güvenliğini ve uzun vadeli dayanıklılığını geliştirerek önemli çalışmalarına devam etmelerini sağlayabiliriz,” diye devam etti Fischer.
Araştırmacıların buldukları:
Artan taleplere rağmen, çoğu bakıcı hala çalışmaları için para almıyor
Bakımcıların %60’ı kendilerini ücretsiz hobi olarak tanımlarken, yalnızca %13’ü kendilerini gelirlerinin çoğunu veya tamamını proje sürdürmekten kazanan profesyonel bakımcılar olarak tanımlıyor. Bakımcıların %23’ü kendilerini yarı profesyonel olarak tanımlıyor ve gelirlerinin bir kısmını proje sürdürmekten kazanıyor.
Bakımcılara ne kadar çok ödeme yapılırsa, açık kaynak üzerinde o kadar çok çalışırlar. Profesyonel bakımcıların %81’i, yarı profesyonel bakımcıların %27’si ve ücretsiz hobi bakımcıların yalnızca %7’sine kıyasla, projelerini sürdürmek için haftada 20 saatten fazla zaman harcıyor.
Bakıcılardan daha fazla güvenlik işi yapmaları isteniyor. %50’den fazlası notu almadı
Bakım sağlayıcıların %50’den fazlası OSSF puan kartları, SLSA ve NIST SSDF gibi yeni güvenlik standartları girişimlerinin farkında değil.
Bu standartlardan bir veya daha fazlasının farkında olan bakımcıların %43’ü bu endüstri standartlarına uyum sağlamak için şimdiden çalışmaya başladı veya gelecek yıl içinde çalışmaya başlamayı planlıyor.
%39’unun bu endüstri standartlarına uyum sağlamaya yönelik bir planı yok ve %19’u, paketlerinin bu endüstri standartlarına uygun olmasını sağlamak için gerekli işi yapıp yapmayacaklarını bilmediklerini veya emin olmadıklarını bildirerek hâlâ kararsız durumda.
Sektörün bakımcıları: Daha fazlasını yapacak ne zamanımız ne de paramız var
Projelerini endüstri standartlarına uygun hale getirmeyi planlamayan bakımcıların %38’i zamanlarının olmadığını söylerken, %37’si iş için para almadıkları için bunu yapmayacaklarını söylüyor.
Bakımcıların %54’ü, bu yeni standartları ve bunların projelerine nasıl uygulanacağını daha iyi anlayabilmeleri için yardımı takdir edecekken, bakımcıların %47’si projelerini yeni standartlarla uyumlu hale getirmek için gereken işi üstlenmek için ödeme yapılmasını istiyor.
Ücretli bakıcılar, ücretsiz bakıcılardan daha fazla güvenlik ve bakım işi yapar
Sorulan her uygulamada, ücretli bakıcıların bunu uygulama veya yol haritasında bulundurma olasılığı daha yüksekti. Ücretli bakımcıların %50’den fazlası, 16 yaygın güvenlik ve bakım uygulamasından 12’sini uygulamış veya uygulamayı planlamaktadır. Ücretsiz bakıcılar? 16 kişiden sadece 5’i.
Resmi geriye dönük uyumluluk politikası (%39 ücretsiz, %71 ücretli, %32 boşluk), tanımlanmış bağımlılık yönetimi süreci (%26 ücretsiz, %57 ücretli, %31 boşluk), yeniden üretilebilir ve doğrulanabilir oluşturma süreçleri (%47 ücretsiz, %77 ücretli, boşluk %30), güvenlik ifşa planı (%42 ücretsiz, %69 ücretli, boşluk %27) ve güvenlik açıkları için düzeltmeler ve öneriler sağlama (43 % ödenmemiş, %69 ödenmiş, boşluk %26).