Sikkerhedsbrud, der er relateret til open-source-sikkerhed projekter er stigende, og en mangel på tid, der stilles til rådighed for udviklere til at løse sårbarheder menes at være skyld i det.
Ifølge Sonatype er DevSecOps Fællesskabet Survey, hvor mere end 5.500 IT-medarbejdere blev bedt om at give deres mening om dagens open source-projekter og eu-sikkerhedspolitik, open-source brud er steget med 71 procent over de sidste fem år.
På mandag, den open source-governance-udbyder, sagde forskning har afsløret 41 procent af ledere ikke anvender open source-governance i deres organisationer, er et problematisk tal i betragtning af, at open source-komponenter, der understøtter store dele af virksomhedens applikationer og netværk.
Open source-samfundet og dets projekter er en integreret del af virksomheden. Community-baserede teknologi, der undgår leverandør lock-in, og gør brug af åbne standarder kan ikke kun være mere cost-effektiv, men kan også repræsentere arbejde af nogle af de bedste programmører til rådighed.
Se også: Cloudflare udvider regering garanterer kanariske øer i gennemsigtighed bud
Dog begrænsninger på tid gør det muligt for nogle sårbarheder til at glide gennem nettet. Forskning udført af Sonatype tyder på, at over 10.000 virksomheder, der har downloadet den fejlbehæftede komponent, der førte til Equifax brud, som førte til, at tyveri af information, der hører til over 140 millioner kunder.
Tæt på halvdelen af open source-udviklere adspurgte sagde, at de mener, at sikkerhed skal være en prioritet, men de “ikke har tid nok til at bruge.” Hertil kommer, at halvdelen af udviklerne adspurgte, der gør brug af cloud-infrastrukturer, der siger, at de er afhængige af den sky udbyder alene at opretholde tilstrækkelig sikkerhed standarder.
Rapporten viser imidlertid, at der sker fremskridt. Af de adspurgte, 81 procent af virksomheder med DevSecOps praksis i stedet siger cybersecurity svar planer har været gennemført, og disse selv samme grupper, som er tre gange mere tilbøjelige til at tilbyde application security uddannelse til dem, der er involveret i open source-projekter.
I alt 62 procent af de adspurgte med DevSecOps programmer er open-source styring planer på plads, i forhold til kun 25 procent, når der ikke DevSecOps findes systemer.
TechRepublic: Hvorfor virksomheder frygt cyberangreb fra ex-ansatte mere end nationalstater
Et andet interessant element i rapporten er den aktuelle grad af automatiseret proces gennemførelse. Gamle DevOps opsætninger er 350 procent mere tilbøjelige til at benytte automatisering i sikkerhed end umodne opsætninger.
Et område for forbedring, dog, er, hvordan cybersecurity er integreret i DevOps-rørledningen. De fleste af dem, uden stabile DevOps-systemer har tendens til at gennemføre sikkerhedstjek og opgaver hver for sig og med manuelle trin, der er påkrævet; der henviser til, at gamle DevOps-programmer er mest tilbøjelige til at have fuldt integreret og automatiseret sikkerhed systemer er på plads.
CNET: Ved at høre på federal data-loven om privatlivets fred, debat nødblus over statslige regler
“Ikke anerkender betydningen af sikkerhed i en DevOps strategi er en opskrift på katastrofe. Uanset hvor hurtig hastigheden af en DevOps organisation, hvis det, de producerer, er ikke støttende i fortrolighed, integritet og tilgængelighed, så har de svigtet,” siger Lu Cortez af Canva. “Herunder sikkerhed i alt, hvad der er gjort, er en del af at tillade virksomheden at opfylde sine strategiske mål. DevOps behov for sikkerhed.”
Tidligere og relaterede dækning
Dow Jones overvågningsliste af høj-risiko finansielle forbindelser lækket online
Målrettet malware-angreb mod Elasticsearch servere bølge
19-årige gør millioner fra etisk hacking
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre