Linux Foundation i Snyk su u partnerstvu napravili izvještaj pod nazivom "Stanje sigurnosti otvorenog koda" (eng. The State of Open Source Security) i razotkrili podosta zabrinjavajućih informacija vezanih uz zablude koje se tiču "open sourcea" u prvom kvartalu ove godine.
U izvještaju baziranom na istraživanju sudjelovalo je 550 osoba koje rade s open sourceom, a uz to se i skeniralo 1,3 milijardi open source projekata, otkriveno je 49 ranjivosti i 80 direktnih "ovisnosti" (eng. dependencies). Također, vrijeme za ispravak bugova se produžilo s 49 dana u 2018. na 110 u 2021.
Uz sve ovo, izvještaj otkriva da čak 41 posto organizacija ne smatra svoja sigurnosna rješenja bazirana na open source softveru pouzdanima. Još i gore, samo 49 posto ih ima jasnu politiku vezanu uz sigurnost sustava. Istina, open source jest sigurniji od rivala za čiji je softver potrebna licenca, ne mora značiti da će problem biti detektiran, posebno ako nitko ne gleda pronaći ga.
I tu je ta glavna zabluda, stav da ako postoji otvoreni kod, svi imaju uvid u njega i problem se riješi čim nastane. Ili se otkrije, a to je ključno. S primjerima sigurnosih "rupa", kao Log4J, colors.js i faker.js, vidjelo se da nitko ne zna za njih jer ih ni ne traži.
Dakle, tzv. "Linusov zakon" funkcionira samo ako netko prati što se događa i radi nešto po tom pitanju. Ako ne prati i ne zna što se događa, moguć je kibernetički napad, a tad je svaki ispravak greške izveden prekasno, žrtva već postoji i doživljen je poraz. Koji se mogao izbjeći.
U slučaju Log4j ranjivosti, čak i kad se znao način kako je ispraviti, pojavljivala se mjesecima kasnije. Zašto? Jer ljudi ne obraćaju pozornost. Zaključno, ponašaju se kao i oni s Windows operativnim sustavima. Razlika je što ne čine sebi problem zbog neznanja već zbog lažnog osjećaja sigurnosti. Ukratko, potrebna su dodatna sigurnosna rješenja.
