Розробники FOSS майже не витрачають часу на безпеку програм

1 хв. читання

Організація Linux Foundation опублікувала нове дослідження (pdf) про стан вільного й відкритого програмного забезпечення (FOSS). Виявилось, що розробники майже не витрачають час на безпеку застосунків — і не надто прагнуть це змінювати.

В опитуванні взяли участь понад 1200 учасників (контрибуторів FOSS). Дослідники хотіли зрозуміти, наскільки автори дбають про безпеку проєктів — адже економіка дедалі більше покладається на програми з відкритим вихідним кодом. Результат виявився невтішним — в середньому респонденти присвячують питанням безпеки 2,27% часу своєї роботи.

Ба більше, розробники не дуже хочуть займатись цим ретельніше. Деякі учасники заявляли, що дбати про безпеку застосунків — «нестерпно нудний» процес.

Що з цим можна зробити

Дослідники дійшли висновку, що галузі FOSS потрібно змінити підхід до безпеки й аудиту — щоб захистити проєкти, але не перекладати всю відповідальність на розробників.

Наприклад, учасники заявляли, що користуються інструментами для виправлення помилок і безкоштовними засобами перевірки. Також популярні інструменти безпеки, які легко додати у пайплайни безперервної інтеграції (CI).

Дослідники пропонують заохочувати організації самим шукати й усувати проблеми безпеки у проєктах. Також розробники можуть переписати вразливі частини або цілі компоненти проєктів FOSS, а не намагатись виправити той код, що є.

Один з варіантів — відмовитись від мов, схильних до помилок пам'яті (типу C й C++), і перейти на безпечніші варіанти (тобто на майже всі інші мови). В такий спосіб можна позбутися цілого класу вразливостей у проєктах, зазначають дослідники.

Помітили помилку? Повідомте автору, для цього достатньо виділити текст з помилкою та натиснути Ctrl+Enter
Codeguida 6.2K
Приєднався: 7 місяців тому
Коментарі (0)

    Ще немає коментарів

Щоб залишити коментар необхідно авторизуватися.

Вхід / Реєстрація