Zaufanie i rosnąca popularność open source w biznesie
Globalny wzrost znaczenia oprogramowania open source (OSS) to trend obserwowany na całym świecie. Zgodnie z raportem "State of Open Source 2024", w ostatnim roku 67% organizacji zwiększyło wykorzystanie systemów opartych na otwartym kodzie. Główne powody tego wzrostu to brak opłat licencyjnych (36,6% odpowiedzi), dostęp do funkcji przyspieszających rozwój (30,7%) oraz stabilność wynikająca z długofalowego wsparcia społeczności (27,6%).
Ostatni z wymienionych czynników znacząco wpływa na budowanie zaufania do open source, ponieważ otwarty dostęp do kodu zwiększa możliwość szybkiej identyfikacji i naprawy błędów przez deweloperów i użytkowników. Niemniej, jak podkreślił Dariusz Świąder, prezes Linux Polska, organizacje powinny pozostać czujne przy wprowadzaniu nowego oprogramowania.
– Badania pokazują zmiany w podejściu rynku do open source. Dziś zdecydowana większość osób rozumie, że darmowe oprogramowanie nie oznacza niskiej jakości, a dawniej można było się spotkać z taką opinią. Cieszy fakt, że rośnie zaufanie do rozwiązań opartych na otwartym kodzie, a wiele osób uważa je nawet za bezpieczniejsze od tych komercyjnych. Musimy jednak pamiętać, że liczba cyberataków stale rośnie. Dlatego zawsze należy zachować ostrożność i zwracać baczniejszą uwagę na aspekty cyberbezpieczeństwa – wyjaśnił Dariusz Świąder.
Ponadto Tomasz Dziedzic, Chief Technology Officer w Linux Polska, zwrócił uwagę, że oprócz typowych ryzyk, takich jak luki w kodzie czy ataki na łańcuch dostaw oprogramowania, istnieją również inne, mniej znane zagrożenia.
– Zdarza się, że projekty open source, które powinny być stale rozwijane, są zaniedbywane lub porzucane, np. na skutek konfliktu między deweloperami. Dużym problemem są zmiany w licencjach, które ograniczają dostęp do kodu i przez to wpływają niekorzystnie na funkcjonowanie organizacji. Do czynników ryzyka należy zaliczyć również regulacje prawne i sankcje gospodarcze, pod wpływem których twórcy kodu mogą zaprzestać świadczenia usług na terenie danego kraju. Wszystkie te aspekty należy mieć na uwadze, analizując kwestię bezpieczeństwa oprogramowania open source – dodał Tomasz Dziedzic.
Jak organizacje zarządzają ryzykiem IT?
Czy rosnące zaufanie do open source ma wpływ na podejście firm do bezpieczeństwa? Badania nie dają jednoznacznej odpowiedzi.
Najpopularniejszą metodą zarządzania ryzykiem w firmach korzystających z oprogramowania open source jest tworzenie wewnętrznych instrukcji, list kontrolnych lub wytycznych, co potwierdza 42% badanych. Co trzecia firma przeprowadza formalną ocenę komponentów OSS, a co czwarta organizacja zaleca programistom szkolenia z bezpiecznego tworzenia oprogramowania. Zewnętrzni eksperci pomagają jednej na pięć organizacji w wyborze odpowiednich komponentów. Zaskakująco, 21% ankietowanych nie stosuje żadnych z wymienionych praktyk zarządzania ryzykiem.
Sytuacja przedstawia się lepiej, gdy chodzi o środki ostrożności wdrażane przez organizacje przed implementacją nowych komponentów OSS. Firmy stosują różnorodne metody oceny wiarygodności, jakości i bezpieczeństwa. Najczęściej oceniane aspekty to poziom aktywności społeczności projektowej (54% wskazań), statystyki pobierania pakietów (43%) oraz częstotliwość aktualizacji (41%). Badanie bezpośrednich zależności kodu realizuje 38% organizacji, a co trzecia używa zautomatyzowanych narzędzi do oceny planowanych do wdrożenia rozwiązań. Eksperci z Linux Polska zauważają, że to wciąż niewystarczające. Organizacje powinny proaktywnie zarządzać ryzykiem w systemowy sposób. Na rynku dostępne są narzędzia takie jak SourceMation Index, które dostarczają dane pozwalające na dokładniejszą ocenę ryzyka związanego z wykorzystaniem konkretnego oprogramowania.
– Analiza ryzyka nie powinna ograniczać się jedynie do standardowej oceny luk w kodzie, szczególnie że oprogramowanie open source jest również wykorzystywane w sektorach kluczowych dla bezpieczeństwa kraju, np. publicznym lub finansowym. Nie powinna również uwzględniać kilku wybranych aspektów wpływających na bezpieczeństwo informatyczne. Do tego tematu należy podejść przekrojowo: od analizy składu oprogramowania, przez zagrożenia związane z jego rozwojem i utrzymaniem, aż po zgodność z polskimi i europejskimi wytycznymi dotyczącymi cyberbezpieczeństwa – wytłumaczył Tomasz Dziedzic.
– Poza oceną każdego z tych czynników osobno ważne jest również badanie zależności między nimi. I właśnie na to zwracamy szczególną uwagę w naszym autorskim systemie analizy ryzyka oprogramowania zawierającego projekty oparte na otwartym kodzie źródłowym. Celem, do którego dążymy, jest umożliwienie organizacjom oceny skumulowanego ryzyka i zdobycia pełnej informacji o potencjalnych zagrożeniach – dodał Dariusz Świąder, Linux Polska.
Wzrost popularności i bezpieczeństwa open source w organizacjach
Rośnie liczba organizacji, które preferują oprogramowanie open source nad komercyjne, uznając je za bezpieczniejsze. Różnorodne metody oceny są stosowane przed implementacją nowych komponentów OSS, jednak nadal 10% firm nie podejmuje żadnych środków bezpieczeństwa, a 20% nie stosuje standardowych praktyk zarządzania ryzykiem. Eksperci podkreślają, że pełne zabezpieczenie oferuje tylko kompleksowa analiza ryzyka i zależności. Platformy takie jak SourceMation automatyzują ten proces, oferując szczegółową ocenę potencjalnych zagrożeń.
