Проекты с открытым исходным кодом лежат в основе многих популярных мобильных и настольных приложений, а также онлайн-сервисов. Причина возрастающей популярности Open Source проста: передаваемый в руки сообщества открытый код лишен лицензионных ограничений и может свободно интегрироваться в другие системы. По данным исследования Open Source 360 Degree 2017 компании Black Duck, несмотря на то, что предприятия внедряют в свои инфраструктуры открытые платформы, им не всегда удается обеспечить их безопасность и эффективное управление. В опросе взяло участие 819 специалистов в области разработки ПО, системных архитектур и ИБ из США и EMEA (Европа, Ближний Восток и Африка).
Как показал опрос, в прошлом году произошел значительный всплеск интереса к Open Source: более 60% респондентов отметили, что их компании начали активно применять открытый код. В качестве преимуществ Open Source приводится экономия затрат, открытость разработок, отсутствие зависимости от единого поставщика, возможность настройки и исправления ошибок в коде. Как признало 55% из числа опрошенных, такая управляемость способствует росту инноваций в бизнесе.
Но, как выяснилось, у открытости имеется и обратная сторона — 66% участников опасаются рисков потери интеллектуальной собственности и проблем, связанных с лицензированием; 64% обеспокоены тем, что используемые ими внутренние приложения могут содержать уязвимости; 71% опрошенных опасаются того же, но применительно к внешним приложениям, например, онлайновым сервисам. Ещё 61% респондентов не уверен, придерживаются ли Open Source-разработчики внутренних регламентов и требований к безопасности.
Автоматизированные процессы для управления проектами с открытым кодом налажены лишь у 15% компаний, причём половина из них не имеет выработанных политик выбора или применения открытого ПО. В исследовании говорится, что такое халатное отношение вызывает тревогу ИБ-специалистов. Требования лицензирования ПО с открытым кодом — ещё одна проблема для компаний. В ходе опроса выяснилось, что их соблюдает немногим более половины предприятий (54%); 55% регулярно следят за информацией об обнаруженных в коде уязвимостях; свои внутренние политики безопасности на соответствие требованиям, которые предъявляются при работе с Open Source, привело 44% компаний.
Эксперты поделились рекомендациями, которые могут улучшить эффективность применения открытого ПО на предприятиях. Сюда можно отнести хорошо налаженный процесс поиска, рассмотрения, утверждения и развёртывания типовых проектов, а также ведение перечня хорошо себя зарекомендовавших компонентов («белый» список) и запрещённых («черный» список). Придерживаясь этих рекомендаций, та или иная компания может существенно уменьшить риски в области применения ПО с открытым кодом.
«Одним из главных преимуществ Open Source традиционно принято называть быструю и качественную разработку приложений. Это выгодно экономически, поскольку снижает производственные затраты, но всё же большинство компаний на сегодняшний день недостаточно эффективно применяют Open Source», — считает генеральный директор Black Duck Лу Шипли. Ситуация усложняется тем, что
Обнародованные в более раннем исследовании Black Duck данные продемонстрировали опасность, таящуюся в открытом коде. По данным экспертов, применяемые в корпоративных приложениях Open Source-компоненты содержали уязвимости четырехлетней давности. Всего для аудита было выбрано 1 тыс. программ, 96% из которых включали Open Source-компоненты. Уязвимости были выявлены в 60% софта (в среднем 52 уязвимости на приложение), что, как говорят специалисты, увеличивает «межотраслевые риски» применения Open Source.
