Как повысить безопасность Open Source-компонентов

Основные проблемы безопасности компонентов с открытым исходным кодом?
– Основная проблема компонентов с открытым исходным кодом в том, что это компонент с открытым исходным кодом. Вместе со всеми плюсами вы получаете большую неизвестность – вы не знаете, кто писал код приложения и есть ли в нем недекларированные возможности, программные закладки или, например, тайм-бомбы и логические бомбы. Вы не можете контролировать процесс разработки и, как следствие, не можете гарантировать безопасность использования компонентов с открытым исходным кодом.

Какие из проблем, по вашему мнению, нужно решать в первую очередь?
– Современные технологии информационной безопасности позволяют решить все проблемы компонентов с открытым исходным кодом, используя инструменты сканирования исходного кода. Эти программные комплексы могут содержать в себе необходимый модуль – Open Source Analysis (он же OSA), который позволяет гарантировать отсутствие в исходном коде недекларированных возможностей, проверяя на наличие заданного пользователем набора уязвимостей.

Ваши предложения по повышению уровня защищенности Open Source-компонентов?
– Предложение, с точки зрения обеспечения информационной безопасности, может и должно быть только одно – обеспечение полноценного процесса DevSecOps, в том числе для компонентов с открытым исходным кодом, т. е. использование систем статического и динамического анализа исходного кода с использованием модуля OSA.

Какие инструменты могут помочь в этом?
– Как говорилось выше, это системы защиты классов SAST и DAST с модулями OSA.

Какие форматы взаимодействия ИТ-сообщества для решения данной проблемы вы считаете эффективными?
– Ни один формат взаимодействия ИТ-сообщества в данном случае не может считаться достаточно эффективным, так как нет веских причин считать информацию, получаемую по таким каналам, как профильные форумы, сайты обмена информацией и иные формы сообществ, достоверными. Иными словами, возможны ситуации, когда злоумышленники намеренно направляют специалистов на определенные ресурсы, где содержится ложная информация о безопасности того или иного компонента, который на самом деле содержит недекларированные возможности или вообще является вирусным или нежелательным ПО.

Полный текст заочного круглого стола доступен в источнике: журнал «Системный администратор».