Experții software au realizat o analiză despre cum trebuie întreprinderile să ia în considerare riscurile de securitate venite odată cu alegerea unor soluții de software open-source.
De exemplu, în trecut Netflix a lansat propriul set de instrumente de monitorizare a amenințărilor open-source, dar astfel a crescut riscul de securitate prin deschiderea acestor instrumente chiar pentru hackeri. Astfel, cu toate că este gratuit, multe companii și întreprinderi sunt reticente în utilizarea soluțiilor open-source, în special din cauză că aceste soluții nu sunt controlate în totalitate de întreprindere, introducând riscuri în special pentru mediile de producție și aplicațiile critice. Riscurile sunt de exemplu violarea confidențialității, a integrității și a disponibilității. Aceste riscuri sunt prezente chiar și în soluțiile de securitate open-source ale Netflix. Microsoft a dezvoltat primul software open-source .NET, specialiștii companiei au recunoscut că este un lucru normal ca hackerii să vizeze software-ul open-source. Astfel, odată fiind deschis pentru toată lumea, software-ul open-source poate fi deschis din toate punctele de vedere, descoperite defectele și exploatate în scopuri negative.
În martie 2016, un dezvoltator de aplicații open-source a fost forțat legal să scoată codul sursă dezvoltat sub numele Kik, după ce o companie de mesagerie instant cu același nume a cerut acest lucru, rezultatul fiind negativ. O parte din codul Kik era utilizat de o gamă largă de companii din lume, acestea bazându-și mediile de producție pe un cod open-source, codul eliminat în urma cererii legale fiind re-publicat pe platformele open-source. Cazul a scos în evidență dependența companiilor de soluțiile open-source și pagubele pe care abordările incorecte le pot avea.
Experții au realizat o listă care să ajute întreprinderile să decidă daca este bine sa utilizeze soluții open-source, în contextul în care acest tip de soluții sunt utilizate inclusiv de entități guvernamentale. În primul rând întreprinderile trebuie să realizeze analize prin care să se asigure că riscul de securitate al soluției open-source este mai mic sau egal cu ce oferă alternativa comercială. Apoi, utilizarea instrumentelor de monitorizare a integrității fișierelor este vitală pentru a vedea dacă apar modificări neautorizate prin codul sursa al aplicației open-source. De asemenea, o testare amplă și strictă a soluției open-source trebuie să aibă loc înainte de implementarea pe scară largă a acesteia, în special în zona de producție, pentru o perioadă mai lungă de timp. Cel mai important, administratorii sistemelor IT trebuie să se asigure că managementul este pe deplin conștient de utilizarea software-ului open source, de care compania va deveni dependentă.
de Andrei Marian
