Czy oprogramowanie open source jest tak bezpieczne, jak myślimy? W dobie, gdy oprogramowanie open source staje się nieodłącznym elementem naszego cyfrowego świata, nasz zespół badawczo-rozwojowy w ramach projektu wspieranego przez NCBiR podjął temat opracowania sposobu analizy ryzyka związanego z użyciem oprogramowania open source. Podczas konferencji Advanced Threat Summit 2023 Tomasz Dziedzic, CTO Linux Polska, podzielił się z wynikami badań, rzucają nowe światło na wyzwania i metody oceny bezpieczeństwa oprogramowania open source, otwierając nowe perspektywy dla jego bezpiecznego wykorzystania w przemyśle technologicznym.
Nasz prelegent CTO Linux Polska, Tomasz Dziedzic podczas 10. jubileuszowej edycji Advanced Threat Summit 2023 — najważniejszej konferencji cybersecurity w Polsce poruszył temat bezpieczeństwa związanego z używaniem otwartego oprogramowania oraz przedstawił nasze narzędzie ułatwiające firmom wybór optymalnego rozwiązania.
Jak powszechnie wiadomo, oprogramowanie open source, zadomowiło się na dobre w branży informatycznej, stając się fenomenem światowej gospodarki i otwierając drogę do innowacji i powstania największych gigantów technologicznych. Co więcej, otwarte oprogramowanie dzięki stabilności i bezpieczeństwu, jakie zapewnia, znalazło zastosowanie w krytycznych branżach oraz środowiskach w największych przedsiębiorstwach i organizacjach na świecie.
Jednak otwarte oprogramowanie to nie tylko niepodważalne korzyści. To także szereg wyzwań związanych z bezpieczeństwem. Nasz zespół badawczo-rozwojowy, w ramach projektu wspieranego przez Narodowe Centrum Badań i Rozwoju (NCBiR), postanowił uchwycić, opisać i zmierzyć ryzyko związane z używaniem oprogramowania open source oraz opracować sposób na publiczne dzielenie się wynikami.
Wykorzystaliśmy w tym celu kilka technik i narzędzi, takich jak: Common Vulnerability Scoring System (CVSS), Static Application Security Testing (SAST) oraz przeprowadziliśmy analizę popularności języka oprogramowania, analizę metadanych i repozytorium kodu, a także kompilację, testy funkcjonalne i pakowanie oprogramowania. Stworzyliśmy również autorski wskaźnik ryzyka Software Component Analysis for Risk Management (SCARM).
Wyniki naszych badań i prac wraz ze szczegółowymi informacjami na temat bezpieczeństwa użycia danego oprogramowania w konkretnym środowisku klienta zaprezentujemy w przyszłym roku w ramach systemu dystrybucji, którym będzie serwis internetowy SourceMation. Użytkownik będzie mógł pobrać oprogramowanie oraz zapoznać się ze szczegółowym raportem bezpieczeństwa. Szczegółowo ten temat omówił Tomasz Dziedzic podczas swojej prelekcji.
Zobacz nagranie z wystąpienia.