Velika moč, velika odgovornost…


Linux in odprtokodni sistemi postajajo vse bolj priljubljeni, s tem pa tudi vse večja varnostna tarča…

Linux je, no ja, povsod. Poganja vseh 500 najboljših superračunalnikov na svetu, na njem pa temelji več ali manj vsa informacijska tehnologija v oblaku, celo Microsoftov Azure. Precejšen porast je Linux doživel celo na namizju – po podatkih PornHuba je število uporabnikov v letu 2021 zraslo za 28 odstotkov, medtem ko je število uporabnikov Windows v enakem obdobju padlo za 3 odstotke. Je PornHub zanesljiv vir? V preteklosti se je dogajanje na »žgečkljivih« spletnih storitvah že izkazalo kot dokaj zanesljiva napoved, kaj bo sledilo na drugih področjih…

Trend rasti se kaže povsod in po navedbah Gartnerja bo tako tudi v prihodnjih letih. V njihovi raziskavi 2021 Hype Cycle for Open-Source Software je zaslediti napovedi, da naj bi več kot 70 % podjetij do leta 2025 povečalo vlaganje v odprtokodno programsko opremo, največ v sisteme programske opreme kot storitev (SaaS).

Številke so vsekakor vzpodbudne, toda velika moč prinaša tudi veliko odgovornost, ki se v tem primeru nanaša seveda na varnostne izzive. Povsem jasno je namreč, da bo s širjenjem uporabe Linuxa in odprtokodne programske opreme ta postajala vedno bolj zanimiva za tiste, ki imajo za bregom grde stvari. In te težave niso nekaj, kar nas šele čaka ampak so se že začele. Dober primer je recimo knjižnica log4j2 v Apache Java, ki jo je ameriška Nacionalna baza ranljivosti National Vulnerability Database (NVD) označila z oceno  10.0 CVSSv3, kar je, no ja, grozno in že nekaj časa povzroča precej glavobolov odgovornim za varnost. Nekaj olajšanja sicer nudijo tako imenovani log4j skenerji, ki pa niso vsemogočni, zato se več upanja polaga v Programske sezname materiala (Software Bills of Material – SBOM), ki nudi natančen vpogled v vse uporabljene knjižnice in tako lažje odkrivanje ranljivosti.

Odprtokodni sistemi imajo torej svetlo prihodnost, a seveda le v primeru, da jih bomo uporabili premišljeno.

Več…

Comments are closed.