Le difficoltà persistenti nella gestione della sicurezza dei software open source tra le varie aziende
Software open source, un tempo celebrato per la sua efficienza, innovazione e velocità nello sviluppo di applicazioni, è diventato un bersaglio principale per gli attaccanti. Uno studio recente di Snyk-Linux Foundation, basato sulle risposte di oltre 500 organizzazioni, rivela tendenze preoccupanti nella sicurezza del software open source.
Il tempo necessario per risolvere le vulnerabilità nel software open source è più che raddoppiato, con una media di 110 giorni nel 2021 rispetto ai 41 giorni del 2018. Questo aumento riflette le sfide nel concentrarsi sulle vulnerabilità critiche, che possono lasciare le vulnerabilità meno gravi non corrette e suscettibili di sfruttamento.
Gli attaccanti stanno sempre più realizzando che la catena di fornitura del software open source può essere più facile da sfruttare rispetto alla ricerca di vulnerabilità nelle applicazioni per gli utenti finali. In effetti, più di un terzo dei rispondenti allo studio ha attribuito la compromissione a un attacco esterno. Due terzi delle organizzazioni hanno riferito di essere state violate almeno una volta nell'ultimo anno, secondo uno studio del 2021 di Forrester.
Hacker inesperti e non sofisticati possono approfittare delle vulnerabilità del software open source per rubare o manipolare i dati sensibili. Casi di alto profilo come la vulnerabilità Log4j e il caso del 2017 Apache Struts legato alla violazione Equifax sottolineano la gravità del problema.
Le organizzazioni stanno prendendo misure per proteggere l'integrità del software open source. Stanno sempre più utilizzando registri di componenti affidabili, strumenti di analisi della composizione del software e concentrandosi su forti politiche di sicurezza del software open source. Tuttavia, due su cinque organizzazioni non hanno una forte fiducia nella sicurezza del software open source e la metà non ha alcuna politica di sicurezza legata allo sviluppo o all'uso del software open source.
La compromissione delle organizzazioni è stata principalmente dovuta allo sfruttamento di una vulnerabilità del software, secondo l'analista senior di Forrester Janet Worthington. Lei sottolinea che non avere una forte politica di sicurezza del software open source è un problema. L'aumento delle minacce di iniezione di codice dannoso come parte degli attacchi alla catena di fornitura rende critico proteggere le dipendenze del software open source.
I discorsi sull'uso del software open source nel settore pubblico e le sfide della sicurezza informatica indicano un interesse continuo per i metodi open source da parte degli organismi governativi. Tuttavia, non ci sono registri pubblicamente disponibili dal 2021 che dettagliano quali organizzazioni tedesche hanno implementato una specifica Politica di Sicurezza del Software Open Source.
Poiché il software open source continua a svolgere un ruolo cruciale nello sviluppo delle applicazioni, è essenziale che le organizzazioni diano la priorità alle misure di sicurezza per proteggersi dalle minacce potenziali. La sicurezza del software open source non è solo una preoccupazione per gli esperti di sicurezza informatica, ma anche per i funzionari governativi, poiché la compromissione delle organizzazioni può avere conseguenze a lungo termine.
Leggi anche:
- Capitale europea dell'imprenditorialità giovanile al Gen-E Festival 2025 ad Atene
- Tre donne anziane, affezionatamente chiamate nonne di Kaha Aden, costituiscono una parte significativa della comunità.
- Licenze di scommesse sportive per dispositivi mobili concesse a DraftKings e Circa per il lancio a dicembre nel Missouri
- Informazioni sui programmi di Medicare e di trattamento con oppiacei (OTP)
