Linux Polska pracuje nad zaprojektowaniem i stworzeniem innowacyjnego systemu, który umożliwi kompleksową analizę ryzyka związanego z wykorzystaniem oprogramowania o otwartym kodzie źródłowym i ocenę jego podatności na ataki cybernetyczne w zgodzie krajowymi regulacjami w zakresie bezpieczeństwa systemów informatycznych. Rozwiązanie to pomoże organizacjom, które wykorzystują oprogramowanie open source w swoich procesach biznesowych, spełnić wymagania dotyczące bezpieczeństwa i odpowiednio zarządzać ryzykiem. W efekcie pozwoli to lepszą ocenę bezpieczeństwa oprogramowania i stabilności jego wykorzystania w ekosystemie IT oraz zabezpieczy ciągłość działania systemów o znaczeniu krytycznym. Projekt współfinansowany jest ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Inteligentny Rozwój.
Oprogramowanie open source zyskuje na popularności i jest coraz częściej wykorzystywane w biznesie, co potwierdzają również badania. Raport „The 2022 State of Open Source” pokazuje, że 77% respondentów odnotowało wzrost, a 36% znaczący wzrost użycia oprogramowania open source w swoich organizacjach w ciągu ostatniego roku1. W Polsce oprogramowanie open source zostało użyte ponad 600 tys. razy2. Jednocześnie, rosnące ryzyko cyberataków skłania managerów IT do pogłębienia analizy bezpieczeństwa wykorzystywanego oprogramowania i lepszego zarządzania nim. Wg IDC wydatki na bezpieczeństwo IT w Europie wzrosną, aby stawić czoło rosnącemu zagrożeniu cyberatakami3.
mówi Tomasz Dziedzic,
Chief Technology Officer w Linux PolskaDziś otwarte oprogramowanie open source staje się niezbędne dla tworzenia innowacji i strategii bezpieczeństwa. Ze względu na ciągły rozwój i rosnącą popularność oprogramowania tworzonego modelu społecznościowym, bezpieczeństwo i jakość jego kodu stają się kluczowe. Proces produkcji oprogramowania open source może się wiązać z pewnymi ryzykami, takimi jak ataki na dostawców i narzędzia, wrogie przejęcie projektu lub nieodpowiednie działania kontrybutorów. Dlatego Linux Polska pracuje nad innowacyjnym systemem analizy ryzyka w oprogramowaniu open source, aby umożliwić klientom uzyskanie wiarygodnych informacji na temat poziomu bezpieczeństwa projektów oraz wybieranie i korzystanie z bezpiecznych pakietów oprogramowania. Naszą misją jest usprawnienie adopcji oprogramowania open source i obniżenie kosztu i ryzyka jego stosowania przez użytkowników. Wierzymy, że rozwiązanie przyniesie istotną wartość, zwiększając stabilność i dostępność systemów opartych na open source w kluczowych dla funkcjonowania państwa obszarach, takich jak administracja publiczna, telekomunikacja, bankowość, energetyka czy ochrona zdrowia.
Tworzony przez Linux Polska system, oprócz standardowej oceny podatności, uwzględnia także inne ważne czynniki ryzyka, takie jak analiza składu oprogramowania i specyficzne dla oprogramowania open source zagrożenia związane z jego produkcją, rozwojem i utrzymaniem. System będzie analizować poszczególne elementy i wzajemne zależności między nimi, w tym zależności pomiędzy oprogramowaniem i jego komponentami (np. bibliotekami). Efektem analizy będzie łączny skumulowany wskaźnik informujący o ryzyku.
Dodatkowo zastosowany model oceny ryzyka będzie badał zgodność oprogramowania z polskimi wytycznymi dotyczącymi cyberbezpieczeństwa takimi jak Narodowe Standardy Cyberbezpieczeństwa (NSC).
Takie rozszerzone podejście, sięgające po dodatkowe źródła informacji, istotne z punktu widzenia oceny ryzyka, pozwala uzyskać kompleksowy obraz potencjalnych zagrożeń, które mogą wiązać się z wykorzystaniem oprogramowania open source. Pozwoli na głębszą i bardziej świadomą ocenę jego bezpieczeństwa i stabilności wykorzystania w ekosystemie IT.
W ramach inicjatywy Linux Polska zapowiada również stworzenie modułu dystrybucji oprogramowania, za pomocą którego użytkownicy będą mogli pobrać sprawdzone pakiety oprogramowania open source pochodzące z projektów społecznościowych i zawierające aktualne dane na temat ryzyka.
Odbiorcami projektu są przede wszystkim podmioty działające w branży finansowej, telekomunikacyjnej i administracji publicznej, które wykorzystują otwarte oprogramowanie w swoich procesach biznesowych i potrzebują narzędzi do efektywnego zarządzania ryzykiem z tym związanym.
Projekt „System analizy ryzyka występującego w pakietach oprogramowania pochodzącego z projektów o otwartym kodzie źródłowym” jest współfinansowany ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Inteligentny Rozwój. Celem projektu jest zaprojektowanie i stworzenie prototypu systemu produkcji i dystrybucji oprogramowania pochodzącego z projektów o otwartym kodzie źródłowym z jednoczesnym spełnieniem wymagań w zakresie bezpieczeństwa i zarządzania ryzykiem stawianych przez systemy o znaczeniu krytycznym.
Przedsięwzięcie będzie realizowane w dwóch etapach po 6 miesięcy każdy. W I etapie opracowany zostanie model do szacowania ryzyka, w II etapie — prototyp rozwiązania analizy ryzyka zintegrowanego z platformą dystrybucji oprogramowania.
Źródła:
1. The 2022 State of Open Source Report
2. Built With, Open Source Usage Distribution in Poland
3. IDC Spending Guide, Worldwide Security Spending Guide