Linux Polska pracuje nad zaprojektowaniem i stworzeniem innowacyjnego systemu, który umożliwi kompleksową analizę ryzyka związanego z wykorzystaniem oprogramowania o otwartym kodzie źródłowym i ocenę jego podatności na ataki cybernetyczne w zgodzie krajowymi regulacjami w zakresie bezpieczeństwa systemów informatycznych. Rozwiązanie to pomoże organizacjom, które wykorzystują oprogramowanie open source w swoich procesach biznesowych, spełnić wymagania dotyczące bezpieczeństwa i odpowiednio zarządzać ryzykiem. W efekcie pozwoli to lepszą ocenę bezpieczeństwa oprogramowania i stabilności jego wykorzystania w ekosystemie IT oraz zabezpieczy ciągłość działania systemów o znaczeniu krytycznym. Projekt współfinansowany jest ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Inteligentny Rozwój.
Oprogramowanie open source zyskuje na popularności i jest coraz częściej wykorzystywane w biznesie, co potwierdzają również badania. Raport „The 2022 State of Open Source” pokazuje, że 77% respondentów odnotowało wzrost, a 36% znaczący wzrost użycia oprogramowania open source w swoich organizacjach w ciągu ostatniego roku1. W Polsce oprogramowanie open source zostało użyte ponad 600 tys. razy2. Jednocześnie, rosnące ryzyko cyberataków skłania managerów IT do pogłębienia analizy bezpieczeństwa wykorzystywanego oprogramowania i lepszego zarządzania nim. Wg IDC wydatki na bezpieczeństwo IT w Europie wzrosną, aby stawić czoło rosnącemu zagrożeniu cyberatakami3.
Tworzony przez Linux Polska system, oprócz standardowej oceny podatności, uwzględnia także inne ważne czynniki ryzyka, takie jak analiza składu oprogramowania i specyficzne dla oprogramowania open source zagrożenia związane z jego produkcją, rozwojem i utrzymaniem. System będzie analizować poszczególne elementy i wzajemne zależności między nimi, w tym zależności pomiędzy oprogramowaniem i jego komponentami (np. bibliotekami). Efektem analizy będzie łączny skumulowany wskaźnik informujący o ryzyku.
Dodatkowo zastosowany model oceny ryzyka będzie badał zgodność oprogramowania z polskimi wytycznymi dotyczącymi cyberbezpieczeństwa takimi jak Narodowe Standardy Cyberbezpieczeństwa (NSC).
Takie rozszerzone podejście, sięgające po dodatkowe źródła informacji, istotne z punktu widzenia oceny ryzyka, pozwala uzyskać kompleksowy obraz potencjalnych zagrożeń, które mogą wiązać się z wykorzystaniem oprogramowania open source. Pozwoli na głębszą i bardziej świadomą ocenę jego bezpieczeństwa i stabilności wykorzystania w ekosystemie IT.
W ramach inicjatywy Linux Polska zapowiada również stworzenie modułu dystrybucji oprogramowania, za pomocą którego użytkownicy będą mogli pobrać sprawdzone pakiety oprogramowania open source pochodzące z projektów społecznościowych i zawierające aktualne dane na temat ryzyka.
Odbiorcami projektu są przede wszystkim podmioty działające w branży finansowej, telekomunikacyjnej i administracji publicznej, które wykorzystują otwarte oprogramowanie w swoich procesach biznesowych i potrzebują narzędzi do efektywnego zarządzania ryzykiem z tym związanym.
Projekt „System analizy ryzyka występującego w pakietach oprogramowania pochodzącego z projektów o otwartym kodzie źródłowym” jest współfinansowany ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Inteligentny Rozwój. Celem projektu jest zaprojektowanie i stworzenie prototypu systemu produkcji i dystrybucji oprogramowania pochodzącego z projektów o otwartym kodzie źródłowym z jednoczesnym spełnieniem wymagań w zakresie bezpieczeństwa i zarządzania ryzykiem stawianych przez systemy o znaczeniu krytycznym.
Przedsięwzięcie będzie realizowane w dwóch etapach po 6 miesięcy każdy. W I etapie opracowany zostanie model do szacowania ryzyka, w II etapie — prototyp rozwiązania analizy ryzyka zintegrowanego z platformą dystrybucji oprogramowania.
Źródła:
1. The 2022 State of Open Source Report
2. Built With, Open Source Usage Distribution in Poland
3. IDC Spending Guide, Worldwide Security Spending Guide