תוכנות קוד-פתוח יתומות מייצרות סיכונים חמורים

14 אפריל, 2021

כמעט כל התוכנות המסחריות, בארגון ובתוך הציוד התעשייתי והרפואי, כוללות מודולי קוד-פתוח. אלא שלנוחיות הזאת יש מחיר כבד מאוד: צוות Black Duck של חברת סינופסיס גילה בעיות אבטחה חמורות בכ-84% מכל המודולים האלה

השילוב של תוכנות קוד פתוח בתוך יישומי תוכנה מסחריים מקל מאוד על תהליך פיתוח התוכנות ומקצר אותו משמעותית. אולם מחקר חדש שבוצע על-ידי צוות Black Duck של חברת סינופסיס (Synopsys) מגלה שליתרונות האלה יש מחיר כבד מאוד, שרוב המשתמשים אינם מודעים לו. הצוות בדק 1,500 יישומי תוכנה מכל התעשיות, וגילה שבכולם יש מודולים שפותחו מחוץ לחברה על-ידי קבוצות מתכנתים שעבדו במתכונת של קוד פתוח. הבעיה נעוצה בכך שרבים מהם לא עומדים בתקני הבטיחות הנדרשים.

חמור מכך, במקרים רבים מדובר במודולים שפותחו בעבר והמפתחים המתנדבים הפסיקו לתמוך בהם – אלה מודולים שלא מקבלים עדכונים ולכן הופכים לבעיית אבטחה ראשונה במעלה. תוצאות המחקר פורסמו על ידי סינופסיס במסגרת הדו"ח 2021 Open Source Security and Risk Analysis, הניתן להורדה בחינם. הצוות גילה סיכוני אבטחה הנובעים מקוד פתוח בכ-95% מכל תוכנות השיווק (CRM). בתחום הבריאות, נמצאו מודולי קוד פתוח ב-98% מהתוכנות, כאשר ב-67% מהם התגלו חולשות אבטחה.

התופעה חוזרת על עצמה בתעשיות רבות. כך למשל, מודולי קוד פתוח נמצאו ב-97% מהתוכנות המספקות שירותים פיננסיים, כאשר ב-60% מהמודולים אותרו חולשות אבטחה. בתחום המסחר האלקטרוני, 92% מהיישומים משתמשים במודולי קוד פתוח שכ-71% מהם מהווים סיכון אבטחתי. אנליסט האבטחה של חברת סינופסיס, טים מייקי, אמר שיותר מ-90% ממודולי הקוד הפתוח, הם מודולים שהתמיכה בהם הופסקה לפני יותר משנתיים.

 

החברות צריכות להשקיע בפרוייקטי קוד פתוח

זהו נתון מדהים. מייקי: "בניגוד לתוכנה מסחרית שבה היצרנים יכולים לדחוף עדכונים למשתמשים, תוכנות הקוד הפתוח תלויות במעורבות אקטיבית של המשתמשים. וכאשר הם לא מעורבים בשימור הקוד הפתוח, התרומה שלו דועכת עם הזמן. התופעה של פרוייקטי קוד פתוח 'יתומים' אינה הבעיה היחידה, אולם כאשר היא מופיעה, ההתמודדות עם בעיות אבטחה נעשית קשה יותר.

"הפתרון לבעיה הוא פשוט מאוד: החברות צריכות להשקיע בפרוייקטי הקוד הפתוח שהתוכנות שלהן נשענות עליהם, כדי להבטיח שהם נשארים פעילים". להערכת עורכי הסקר, הבעיה מחמירה: בשנת 2020 אותרו בעיות אבטחה ב-84% מכל מודולי הקוד הפתוח ששולבו בתוכנות מסחריות. מדובר בעלייה של 9% בהשוואה לשנת 2019. במקביל, שיעור המודולים שבהם מדובר בבעיית אבטחה מסוכנת מאוד צמח מ-49% בשנת 2019 לכ-60% בשנת 2020.

חברת סינופסיס תקיים בשבוע הבא סמינר המציג את ממצאי המחקר והדרכים להתמודד עם התופעה.

למידע נוסף: Open Source Trends, Risks & Management

Share via Whatsapp

פורסם בקטגוריות: אבטחת סייבר , חדשות , תוכנה ותכנון אלקטרוני

פורסם בתגיות: סינופסיס , קוד פתוח

כתבות נוספות העשויות לעניין אותך

ארגוס פיתחה פתרון נגד פריצה וגניבה אלקטרונית של כלי-רכב

דוח מדאיג: שני שליש מחולשות האבטחה הידועות - במכשור רפואי

ארגוס הקימה מעבדת בדיקות רכב בארה"ב