新しいオープンソースのエンタープライズセキュリティ調査

Linux Foundationがオープンソースのセキュリティセキュリティ会社であるSnykと共同で行った調査では、開発モデルとそのソフトウェアセキュリティへの影響だけでなく、認識や解釈。

これらすべての調査と同様に、ここに含まれる情報は、業界の専門家、特にさまざまな規模の企業の550人の開発者に、自社で実装したセキュリティポリシーについて質問した一連のインタビューに基づいています。彼らが使用しているオープンソースソフトウェアに関連して？この問題についてどう思いますか？

すべてが一見したところよりも少し複雑です。参加者の半数未満（49％）が、オープンソースソフトウェアの開発に関するセキュリティポリシーを持たない企業で働いており、そのほとんど（30％）がこの分野の責任者でさえありません。しかし、オープンソースはそれほど安全ではありませんか？何を心配しますか？

オープンソースイニシアチブ（OSI）の創設者であり、古典的な本「The大聖堂とバザール、エリックS.レイモンド：十分な量の目の虫が表面に現れます。もちろん、この「法則」は誰かが見ている場合にのみ機能します  。ZDnetで覚えておいてください。

また、Linusの他の「法則」では、バグはセキュリティに影響するか他の何かに影響するかにかかわらず、バグであると述べていますが、これについてはあまり話題になりません。ただし、結局のところ、オープンソースプロジェクトのほとんどの目は通常セキュリティ上の欠陥を探していないため、これはまったく同じように適用されます。

Linux FoundationとSnykの研究における認識はどこにありますか？回答者のほぼ半数（41％）は、セキュリティに関してオープンソースを信頼していませんが、大部分の回答者は、使用するオープンソースが非常にまたは非常に安全であると述べて、根本的に反対の立場を取っています。どうせ恋だから、各グループは何に基づいていますか？

真実はそれが明らかにされていないということですが、そのような相反する立場は思考の糧を与えます。まず第一に、彼らはオープンソースソフトウェア開発がどのように機能するかという理論を理解している専門家であり、実際、見る目は非常に重要です。しかし、世界中の多くの大企業や組織で使用されているLinuxカーネルのようなプロジェクトは、それに対する特定の依存関係やはるかに小さなプロジェクトと同じではありません。

とはいえ、オープンソースはその性質上、プロプライエタリソフトウェアよりもセキュリティの追加レイヤーを提供します。これは、多くの場合に非常に役立つだけでなく、他の多くの場合には有害であり、無責任なものを滑らかにするレベルの透明性です。問題を心配せずに何かを保存するために、「誰かがそれを見て修正する」ために。

一方、同じオープンソースエコシステムがここ数年  、最も一般的に使用されるコンポーネントに焦点   を当て、脆弱性の発見、   資金調達の改善  、および  その他のタイプのイニシアチブを主導  することで、メンタリティを変えてきたことも同様に真実です。同じ方向。Linuxとビジネス界で最も人気のあるオープンソースソフトウェアについては多くのことが行われており、その成果はすでにそこにあります。

注意、スクロールして読み続けてください

したがって、たとえば、  LinuxはAppleやMicrosoftよりも早くセキュリティ上の欠陥を修正することが認識されており、その  ような欠陥の数はLinuxまたは一般的なオープンソースの方がはるかに多いと正当に主張する当事者もいますが、これは事実です。モデルの透明性も理由です。しかし、安全な環境を確保するには透明性だけでは不十分であることがますます明らかになっています。

実際、脆弱性は、開発されたモデルに関係なく、あらゆる種類のソフトウェアに共通しており、オープンソースには利点がありますが、業界が直面しているのと同じ問題がないわけではありません。何十年にもわたって対処する：セキュリティをサードパーティに移さずに心配することは非常に重要です。

調査に関しては、他の興味深いデータを提供します。たとえば、平均的なアプリケーション、応答のタイプ、またはプロセスに含まれるツールに一般的に見られる脆弱性を指摘しますが、知覚の強調は1つです。注意を払う価値のある重要なポイント。

完全な調査を見るには、  このリンク  （PDF）をたどることができます。