На початку цього року розробник Microsoft зрозумів, що хтось вставив бекдор у код утиліти з відкритим кодом XZ ​​Utils, яка використовується практично у всіх операційних системах Linux.

Операція почалася двома роками раніше, коли той хтось, особа на прізвисько JiaT75, почав робити внесок у репозиторій XZ Utils на GitHub. Експерт з кібербезпеки назвав цю атаку «кошмарним сценарієм» і «найкраще виконаною атакою на ланцюг поставок, яку ми бачили».

Атака, яка послідувала за іншими відомими інцидентами кібербезпеки, пов’язаними з програмним забезпеченням з відкритим кодом, таким як Heartbleed , Shellshock і Log4j , стала ще одним яскравим нагадуванням про те, що програмне забезпечення з відкритим кодом, зважаючи на те, наскільки воно поширене, може становити значні ризики для безпеки.

На TechCrunch Disrupt 2024 Богоміл Балканскі, партнер Sequoia Capital; Аева Блек, керівник відділу безпеки з відкритим кодом Агентства з кібербезпеки та безпеки інфраструктури США; і Луїс Вілья, співзасновник Tidelift, обговорили проблеми захисту програмного забезпечення з відкритим кодом.

«Мені подобається говорити, що відкритий код не є безкоштовним, як піца. Безкоштовно, як щеня. Ви заберете його додому і не годуєте, воно з’їсть ваші меблі, ваше взуття», – сказав Блек.

Балканскі назвав програмне забезпечення з відкритим кодом «життєвою системою програмного забезпечення», що робить його «основним і вбудованим у все». Проблема, додав Балканський, полягає в тому, що «бізнес-модель для відкритого коду все ще триває».

Отже, хто повинен піклуватися про це та платити за його збереження?

Вілла та його команда з Tidelift пропонують модель, за якої компанія платить супроводжуючим із відкритим кодом, щоб вони піклувалися про їхній код, а партнерам – за усунення вразливостей.

CISA, пояснив Блек, зараз бере участь , запускаючи ініціативи, щоб розповісти компаніям, які є найкращі — і найгірші — практики безпеки, коли справа доходить до розгортання програмного забезпечення з відкритим кодом. «Ми тут, щоб брати участь як члени спільноти з відкритим кодом і працювати з ними», — сказав Блек, який вважає програмне забезпечення з відкритим кодом суспільним благом.

З точки зору того, як рухатися вперед, Балканскі сказав, що «рішення безпеки з відкритим кодом, принаймні певною мірою, також має бути з відкритим кодом», і попередив, що «не існує жодних срібних куль».

Вілла сказав, що існує потреба у «кількох підходах» і «глибокому захисті», що означає потребу в кількох рівнях безпеки для захисту екосистеми з відкритим кодом.

І Блек сказав, що розробники програмного забезпечення повинні знати, яке програмне забезпечення з відкритим кодом є в їхніх продуктах. «Нам потрібна більша залученість, щоб усі могли робити це з меншими зусиллями та меншим тягарем для окремих волонтерів, що супроводжують, і неприбуткових організацій», — сказав Блек.