Організація Linux Foundation опублікувала нове дослідження (pdf) про стан вільного й відкритого програмного забезпечення (FOSS). Виявилось, що розробники майже не витрачають час на безпеку застосунків — і не надто прагнуть це змінювати.
В опитуванні взяли участь понад 1200 учасників (контрибуторів FOSS). Дослідники хотіли зрозуміти, наскільки автори дбають про безпеку проєктів — адже економіка дедалі більше покладається на програми з відкритим вихідним кодом. Результат виявився невтішним — в середньому респонденти присвячують питанням безпеки 2,27% часу своєї роботи.
Ба більше, розробники не дуже хочуть займатись цим ретельніше. Деякі учасники заявляли, що дбати про безпеку застосунків — «нестерпно нудний» процес.
Що з цим можна зробити
Дослідники дійшли висновку, що галузі FOSS потрібно змінити підхід до безпеки й аудиту — щоб захистити проєкти, але не перекладати всю відповідальність на розробників.
Наприклад, учасники заявляли, що користуються інструментами для виправлення помилок і безкоштовними засобами перевірки. Також популярні інструменти безпеки, які легко додати у пайплайни безперервної інтеграції (CI).
Дослідники пропонують заохочувати організації самим шукати й усувати проблеми безпеки у проєктах. Також розробники можуть переписати вразливі частини або цілі компоненти проєктів FOSS, а не намагатись виправити той код, що є.
Один з варіантів — відмовитись від мов, схильних до помилок пам'яті (типу C й C++), і перейти на безпечніші варіанти (тобто на майже всі інші мови). В такий спосіб можна позбутися цілого класу вразливостей у проєктах, зазначають дослідники.
Ще немає коментарів