Firma Fortify Software, która specjalizuje się w produkcji systemów zabezpieczeń dla biznesu, twierdzi, że z badań Open Source Security Study wynika, iż większość opensource’owych rozwiązań nie jest gotowych dla biznesu.
Fortify oceniało, czy społeczności pracujące nad różnymi projektami, oferują usługi i zabezpieczenia wymagane w zastosowaniach biznesowych. Okazało się, że proces rozwoju opensource’owego oprogramowania najczęściej nie spełnia przemysłowych wymogów bezpieczeństwa. Ponadto niemal żadna ze społeczności nie zapewnia użytkownikom dostępu do ekspertów, którzy potrafiliby doradzić klientowi biznesowemu.
Oprogramowanie opensource’owe może być wartościową alternatywą w dzisiejszym świecie korporacyjnym, jednak, podobnie jak ma to miejsce w przypadku oprogramowania komercyjnego, osoby odpowiedzialne za bezpieczeństwo powinny skupić się na błędach w programach – mówi Howard A. Schmidt, były doradca Białego Domu ds. cyberbezpieczeństwa.
Zauważa on, że w każdym oprogramowaniu występują niedociągnięcia, jednak procedury testowania i analizowania kodu powinny być bardziej przestrzegane w oprogramowaniu opensource’owym. Dzięki takiej zmianie podejścia Wolne Oprogramowanie będzie miało większą szansę na podbój rynku biznesowego.
Larry Suto, znany konsultant ds. bezpieczeństwa IT, sprawdził na zlecenie Fortify 11 najpopularniejszych opensource’owych pakietów. Ponadto Fortify uzyskało od rozwijających je społeczności informacje na temat stosowanych procedur bezpieczeństwa. Pobrano też i przeanalizowano wiele wersji każdego z pakietów, a najważniejsze fragmenty kodu sprawdzono ręcznie.
Wśród największych grzechów opensource’owych społeczności należy wymienić brak szczegółowej dokumentacji dotyczącej bezpieczeństwa, brak systemu powiadamiania użytkowników o wykrytych lukach oraz trudności w skontaktowaniu się ze specjalistami odpowiedzialnymi za bezpieczeństwo projektów i skonsultowaniu z nimi wątpliwości.
Analizy wykazały też, że największe problemy opensource’owemu oprogramowaniu sprawiają dwa typu luk – dziury umożliwiające ataki SQL injection (znaleziono ich 15 612) oraz cross-site scripting (22 828 znalezionych).
Fortify przyznaje, że do przeprowadzenia badań nakłonił firmę fakt rosnącej popularności opensource’owego oprogramowania. Zdaniem firmy analitycznej Gartner, do roku 2011 aż 80 proc. komercyjnych programów będzie zawierało fragmenty otwartego kodu. Fortify zauważa, że z jednej strony biznes coraz chętniej sięga po Wolne Oprogramowanie, z drugiej jednak, zdecydowana większość społeczności nie wdrożyła procedur bezpieczeństwa, które są wymagane na rynku zastosowań korporacyjnych.
Z tego też powodu firmy używające opensource’owych rozwiązań narażone są na ukryte koszty związane z samodzielnym testowaniem oprogramowania i produkcją łatek – mówi niezależna konsultantka Jennifer Bayuk.
Część opensource’owych projektów staje się jednak coraz bardziej profesjonalna. Wystarczy wspomnieć tutaj przykład Mozilli, która w bieżącym miesiącu wynajęła niezależnego konsultanta, Richa Mogula, który pomoże producentowi Firefoksa w dostosowaniu się do wymagań świata korporacji.
Mariusz Błoński
źródło informacji: kopalniawiedzy.pl
