Šių metų pradžioje „Microsoft“ kūrėjas suprato, kad kažkas įterpė užpakalines duris į atvirojo kodo programos „XZ Utils“ kodą, kuris naudojamas praktiškai visose „Linux“ operacinėse sistemose.
Operacija prasidėjo prieš dvejus metus, kai tas kažkas, asmuo, pravarde JiaT75, pradėjo prisidėti prie XZ Utils saugyklos GitHub. Kibernetinio saugumo ekspertas šią ataką pavadino „košmaro scenarijumi“ ir „geriausiai įvykdyta tiekimo grandinės ataka, kokią mes matėme“.
Ataka, įvykusi po kitų gerai žinomų kibernetinio saugumo incidentų, susijusių su atvirojo kodo programine įranga, pvz., „Heartbleed“, „Shellshock“ ir „Log4j“, buvo dar vienas ryškus priminimas, kad atvirojo kodo programinė įranga, atsižvelgiant į jos paplitimą, gali kelti didelį pavojų saugumui.
„TechCrunch Disrupt 2024“ Bogomil Balkansky, „Sequoia Capital“ partneris; Aeva Black, JAV kibernetinio saugumo ir infrastruktūros saugumo agentūros atvirojo kodo saugumo skyriaus vadovė; ir Luisas Villa, vienas iš „Tidelift“ įkūrėjų, aptarė atvirojo kodo programinės įrangos saugos iššūkius.
„Man patinka sakyti, kad atvirasis kodas nėra nemokamas kaip pica. Tai nemokama kaip šuniukas. Parsineši namo ir nemaitini, tai suvalgys tavo baldus, batus“, – sakė juodu.
Balkansky pavadino atvirojo kodo programinę įrangą „programinės įrangos gyvybingumo šaltiniu“, todėl ji yra „pagrindas ir įtraukta į viską“. Balkansky pridūrė, kad problema yra ta, kad „atvirojo kodo verslo modelis vis dar labai kuriamas“.
Taigi, kas turėtų juo rūpintis ir mokėti už tai?
Villa ir jo komanda „Tidelift“ siūlo modelį, pagal kurį įmonė moka atvirojo kodo prižiūrėtojams, kad jie pasirūpintų savo kodu, o partneriams – už pažeidžiamumų taisymą.
CISA, paaiškino Black, dabar įsitraukia ir pradeda iniciatyvas, siekdama pasakyti įmonėms, kokia yra geriausia ir blogiausia saugumo praktika diegiant atvirojo kodo programinę įrangą. „Esame čia tam, kad dalyvautume kaip atvirojo kodo bendruomenės nariai ir dirbtume su jais“, – sakė Blackas, manantis, kad atvirojo kodo programinė įranga yra viešoji gėrybė.
Kalbėdamas apie tai, kaip eiti į priekį, Balkansky sakė, kad „atvirojo kodo saugumo sprendimas, bent jau tam tikru mastu, taip pat turi būti atvirojo kodo“, ir perspėjo, kad „nėra sidabrinių kulkų“.
„Villa“ teigė, kad reikia „kelių požiūrių“ ir „gilintos gynybos“, o tai reiškia, kad norint apsaugoti atvirojo kodo ekosistemą, reikia kelių saugumo lygių.
Ir Blackas sakė, kad programinės įrangos kūrėjai turi žinoti, kokia atvirojo kodo programinė įranga yra jų produktuose. „Mums reikia geresnio įsitraukimo, kad visi galėtų tai padaryti su mažiau pastangų ir mažesnės naštos atskiriems savanoriams prižiūrėtojams ir ne pelno organizacijoms“, – sakė Blackas.
