Linux Polska uruchomiło platformę SourceMation, która kompleksowo sprawdza bezpieczeństwo oprogramowania open source.
Liczne badania i raporty wskazują, że z oprogramowania open source korzysta już ok. 90-95 proc. firm na świecie. W 2024 roku zwiększenie użycia rozwiązań opartych na otwartym kodzie zadeklarowało ponad 67 proc. organizacji, a w przypadku kolejnych 27 proc. pozostało ono na tym samym poziomie. Perspektywa rozwoju rynku open source jest obiecująca, zwłaszcza że firmy coraz bardziej doceniają możliwość dostosowania oprogramowania do własnych potrzeb i ograniczenia kosztów związanych z licencjami. Co więcej, aż 3 na 4 ekspertów uważa, że rozwiązania open source są bezpieczniejsze od tych komercyjnych. Mimo że przekonanie to jest w pewnym zakresie uzasadnione, skutkuje mniejszą aktywnością firm w zakresie cyberbezpieczeństwa. Okazuje się bowiem, że co piąta organizacja nie korzysta z najpopularniejszych praktyk zarządzania ryzykiem w związku z wykorzystaniem OSS, a co dziesiąta nie podejmuje żadnej akcji przed wdrożeniem nowych komponentów.
SourceMation jest efektem kilkunastu miesięcy ciężkiej pracy wielu ekspertów z różnych dziedzin. Od dawna czuliśmy potrzebę stworzenia platformy, która byłaby odpowiedzią na coraz większą popularność otwartego kodu i związaną z nią potrzebą zapewnienia bezpieczeństwa organizacjom. Nie tylko prywatnym, lecz także publicznym – w końcu eksperci jednoznacznie wskazują, że to właśnie administracja rządowa najbardziej skorzystałaby na wdrożeniu rozwiązań open source. To wyraźny sygnał, że w przyszłości open source stanie się standardem również w sektorze publicznym. Kwestia ta tym bardziej skłania do refleksji na temat ryzyka z tym związanego, zwłaszcza w dobie coraz częstszych ataków cybernetycznych i niestabilnej sytuacji geopolitycznej. Platforma SourceMation pozwala na całościową, pogłębioną i długofalową ocenę potencjalnych zagrożeń związanych z wykorzystaniem open source, co pozwala na efektywną realizację strategii zarządzania ryzykiem – mówi Dariusz Świąder, CEO Linux Polska.
Nadchodzi nowa era cyberbezpieczeństwa
Z raportu Europe Spotlight 2023, przygotowanego przez Linux Foundation, wynika, że firmy korzystające z rozwiązań open source stosują różne praktyki w zakresie bezpieczeństwa IT. Do najczęściej podejmowanych akcji przed wdrożeniem nowego komponentu OSS należą: sprawdzenie poziomu aktywności społeczności projektowej (54 proc. odpowiedzi), analiza ocen repozytoriów lub statystyk pobrań pakietów (43 proc.) oraz częstotliwość wydań (41 proc.). Zaledwie co trzecia organizacja ocenia kod źródłowy przy pomocy zautomatyzowanych narzędzi, a co czwarta sprawdza nowy komponent pod względem własnej polityki ryzyka.
Nic więc dziwnego, że aż 79 proc. specjalistów uważa, że utrzymanie zasad bezpieczeństwa lub zgodności jest dla nich wyzwaniem, z czego niemal połowa ocenia je jako trudne lub bardzo trudne. Jak wskazuje Tomasz Dziedzic, CTO Linux Polska, problemem firm jest nie tylko brak odpowiedniej strategii, lecz także wybiórcze podejście do czynników składających się na ryzyko związane z wykorzystaniem open source.
Na pierwszy rzut oka wyniki międzynarodowych raportów wskazują, że firmy korzystają z różnorodnych sposobów analizy bezpieczeństwa rozwiązań open source. Jednak jeśli spojrzymy na te wykresy z innej strony, okaże się, że kwestia ta wymaga sporych zmian. W końcu to, że połowa organizacji sprawdza aktywność społeczności projektowej, oznacza, że druga połowa tego nie robi. Mamy więc do czynienia z sytuacją, w której kompleksowe podejście do bezpieczeństwa, uwzględniające wiele różnych jego aspektów, jest dzisiaj rzadkością. Tworząc SourceMation, chcieliśmy to zmienić. Dlatego nasza platforma analizuje dogłębnie nie tylko jakość kodu i jego historię, lecz także wiele innych, bardzo często pomijanych czynników, takich jak pochodzenie geopolityczne oprogramowania, obciążenie projektami, liczbę kontrybutorów czy zależności pomiędzy poszczególnymi komponentami projektu. Użytkownik może na jednej stronie w zautomatyzowany sposób rozpoznać zagrożenia i zarządzać ryzykiem – komentuje Tomasz Dziedzic.
Jak dodaje Magdalena Lasecka, Director Project Management Office, Linux Polska, system został zaprojektowany w taki sposób, by analiza ryzyka i jego interpretacja była jak najbardziej intuicyjna.
Efektem działania SourceMation jest prosty i przejrzysty raport zawierający ocenę każdego z analizowanych czynników oraz skumulowany wskaźnik ryzyka dla badanego oprogramowania. Indeks jest prezentowany w 10-stopniowej skali – im niższa ocena, tym większe ryzyko związane z danym czynnikiem. Te wartości, uwzględnione w kontekście specyficznych warunków biznesowych oraz środowiska informatycznego, stanowią dla organizacji cenną wskazówkę, pomagając w podjęciu optymalnych decyzji wdrożeniowych. W przypadku pytań dotyczących interpretacji wyników lub dopasowania rozwiązań do specyfiki organizacji, nasi specjaliści są zawsze gotowi do udzielenia wsparcia merytorycznego – dodaje Magdalena Lasecka.
Projekt będzie regularnie rozwijany
Już teraz każdy użytkownik SourceMation może skorzystać z opcji szczegółowej analizy zagrożenia związanego z wykorzystaniem konkretnych rozwiązań open source, a także sięgnąć po pomoc specjalistów z Centrum Indywidualnego Wsparcia Technicznego. Jak jednak podkreśla Dariusz Świąder, CEO Linux Polska, platforma jeszcze w tym roku będzie rozbudowana o kolejne opcje i funkcjonalności.
W najbliższej przyszłości planujemy rozszerzyć informacje o licencjach oprogramowania. Pozwoli to jeszcze lepiej analizować ryzyko związane z niezgodnością z obecnymi zasadami lub wymaganiami prawno-licencyjnymi i jednocześnie zwiększy stabilność projektów wykorzystujących otwarty kod. Chcemy ponadto zwiększyć możliwość personalizacji analiz i raportów, tak by były one jak najbardziej przydatne w przypadku specyficznych projektów lub potrzeb organizacji. Naszym stałym celem jest nieustanny rozwój listy oprogramowania dostępnego na SourceMation, a także realizacja działań edukacyjnych, obejmujących m.in. analizę najnowszych trendów w oprogramowaniu. Wszystkie plany opisaliśmy szczegółowo w roadmapie, która jest dostępna na naszej stronie. Co ważne, każdy może mieć wpływ na rozwój projektu, dlatego serdecznie zachęcam do kontaktu osoby zainteresowane kwestiami cyberbezpieczeństwa i open source – podkreśla Dariusz Świąder.