Il software OpenSource è ovunque ma vecchio e non aggiornato

Il software OpenSource è ovunque ma vecchio e non aggiornato

Parole dure nel titolo, ma è quanto riporta un’analisi fatta da Synopsys, azienda di Mountain View e che si occupa di produzione di chip e sicurezza del software.

Quanto emerge dal loro 2020 Open Source Security and Risk Analysis Report (OSSRA) lascia un pochino perplessi: all’incirca il 99% del codice di cui è stato fatto l’audit (anche software commerciale, ad esempio, di Apple, Microsoft o Zoom) contiene almeno un componente open-source.

Ottime notizie quindi? Beh, se da una parte questo dimostra ulteriormente la validità delle tecnologie open-source, l’analisi ha portato alla luce un altro problema: il 91% di questo codice è o più vecchio di 4 anni, o non ha avuto sviluppi negli ultimi 2.

Quindi l’open-source funziona, viene utilizzato da tutti, ma spesso ci si dimentica che va aggiornato anch’esso, o sostituito con progetti attivi, per essere sicuri di utilizzare codice non necessariamente di qualità, ma almeno sicuro.

OpenSource Logo

L’analisi effettuata su oltre 1250 software commerciali ha dimostrato, nello specifico, che il 75% della base codice contiene componenti open-source con vulnerabilità di sicurezza conosciuta. Per fare un paragone, nel 2019 la stessa analisi aveva riportato una percentuale del 60%, con quindi un netto peggioramento nel corso di un semplice anno.

It’s difficult to dismiss the vital role that open source plays in modern software development and deployment, but it’s easy to overlook how it impacts your application risk posture from a security and license compliance perspective […] The 2020 OSSRA report highlights how organizations continue to struggle to effectively track and manage their open-source risk. Maintaining an accurate inventory of third-party software components, including open source dependencies, and keeping it up to date is a key starting point to address application risk on multiple levels.

E’ difficile ignorare il ruolo vitale che l’open-source ha nei moderni processi di sviluppo e rilascio del software, ma è facile ignorare l’impatto che pone alla propria applicazione da una prospettiva di sicurezza e conformità delle licenze […] L’OSSRA 2020 evidenzia come le aziende continuano a faticare a tracciare e gestire in maniera efficace il loro rischio introdotto dall’open-source. Gestire un inventario accurato delle componenti software di terze parti, compreso delle dipendenze open-source, e mantenerlo aggiornato è un punto di partenza chiave per gestire il rischio applicativo su più livelli.

I consigli di Tim Mackey, responsabile delle strategie di sicurezza del Cybersecurity Research Center di Synopsys sono ottimi, ma il problema pare non essere legato alla sola software security.

Già perchè il 68% della base del codice analizzata contiene anche dei conflitti a livello di licenze open-source e, ancora peggio, il 33% contiene codice open-source senza una licenza chiaramente identificabile.

Ma cosa ci indicano alla fine questi dati? Possiamo, secondo noi, identificare due punti chiave:

  • il software open-source c’è, ed è oramai fondamentale nello sviluppo di qualsiasi applicazione, sia essa libera o commerciale;
  • il software open-source non è una manna dal cielo, che un’azienda può includere e dimenticarsene. Come tutti i software va curato, aggiornato e sostituito quando diventa obsoleto

Quindi, di fatto, restare al passo con i tempi non è solo un’ottima idea per migliorare il nostro codice o la nostra produttività, ma anche per la nostra sicurezza.

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.

Fonte: https://www.miamammausalinux.org/2020/05/il-software-opensource-e-ovunque-ma-vecchio-e-non-aggiornato/

Visited 1 times, 1 visit(s) today
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.