Новое исследование показало, что предприятия постепенно отказываются от программного обеспечения с открытым исходным кодом из-за растущих опасений по поводу рисков безопасности, исходящих от элементов с открытым исходным кодом.
Гигант виртуализации VMware недавно опубликовал отчет, в котором говорится, что количество компаний, готовых развернуть программное обеспечение с открытым исходным кодом в производственных средах, сократилось с 95% в прошлом году до 90% в этом году.
Две самые большие проблемы, которые заставляют компании искать в другом месте, — это способность выявлять и устранять уязвимости, обнаруженные в программном обеспечении с открытым исходным кодом. Фактически, зависимость от сообщества в устранении недостатков и уязвимостей находится в верхней части списка (61%), за ней следуют повышенные риски безопасности (53%) и отсутствие соглашений об уровне обслуживания (SLA) для исправлений от сообщества. (50%).
В отчете говорится, что для решения этой проблемы предприятия хотели бы видеть улучшения в безопасности упаковки, поскольку упаковка программного обеспечения с открытым исходным кодом имеет важное значение для защиты цепочки поставок.
Очевидно, слишком много инструментов, слишком много ручных задач и слишком много команд, работающих над упаковкой в большинстве компаний, что делает процесс вялым, неэффективным и рискованным.
На вопрос о том, какие возможности упаковки программного обеспечения повысят безопасность, почти две трети (60%) оценят немедленный доступ к надежным исправлениям безопасности для приложений или сред выполнения, зависимостей и компонентов операционной системы, а половина (55%) хотят иметь централизованный обзор всех сканирований. , так как это упростит аудит безопасности. Половина (51%) также хотят автоматизировать сканирование CVE и вирусов для каждого контейнера.
Хотя программное обеспечение с открытым исходным кодом остается неотъемлемой частью каждого проекта, вопросы безопасности поднимаются не впервые. В июне прошлого года компания Snyk, занимающаяся кибербезопасностью, совместно с Linux Foundation опубликовала отчет, в котором утверждалось, что программное обеспечение с открытым исходным кодом представляет «значительную угрозу безопасности».
На основе опроса более 550 респондентов, а также данных, полученных из 1,3 миллиарда проектов с открытым исходным кодом через Snyk Open Source, в отчете говорится, что две из пяти (41%) компаний не уверены в безопасности своего открытого исходного кода.
Выяснилось, что средний проект разработки приложений имеет 49 уязвимостей, а также 80 прямых зависимостей. Обычно сейчас на устранение уязвимости в проекте с открытым исходным кодом уходит 110 дней, по сравнению с 49 днями четыре года назад.
