Οι επιστήμονες δεδομένων χρησιμοποιούν αντίστροφη χρήση κώδικα ανοιχτού κώδικα λόγω ανησυχιών για την ασφάλεια

Τα τρωτά σημεία σε στοιχεία ανοιχτού κώδικα - όπως τα ευρέως διαδεδομένα ελαττώματα που αποκαλύφθηκαν πριν από 10 μήνες στο Log4j 2.0 - ανάγκασαν τους επιστήμονες δεδομένων να επαναξιολογήσουν τον ανοιχτό κώδικα που χρησιμοποιείται συχνά στην ανάλυση και στη δημιουργία μοντέλων μηχανικής μάθησης.

Σύμφωνα με μια έκθεση της Anaconda, μιας εταιρείας πλατφόρμας επιστήμης δεδομένων, τον περασμένο χρόνο, το 40% των ερωτηθέντων επιστημόνων δεδομένων, επιχειρηματικών αναλυτών και φοιτητών έχουν περιορίσει τη χρήση στοιχείων ανοιχτού κώδικα, ενώ το ένα τρίτο παρέμεινε σταθερό και μόνο 7 % ενσωμάτωσαν περισσότερο ανοιχτό κώδικα στα έργα τους. Η πλειοψηφία των ερωτηθέντων δεν αναφέρεται στο τμήμα τεχνολογίας πληροφοριών (18%), αλλά εργάζεται στη δική τους ομάδα επιστήμης δεδομένων ή έρευνας και ανάπτυξης (47%), σύμφωνα με το Anaconda.2022 State of Data Science” έκθεση, που κυκλοφόρησε την περασμένη εβδομάδα.

Ενώ οι προγραμματιστές λογισμικού και η πληροφορική έχουν ήδη αρχίσει να ελέγχουν τον ασφαλή κώδικα, οι ανησυχίες για την ασφάλεια στο λογισμικό ανοιχτού κώδικα είναι μια σχετικά νέα τάση για τον κόσμο της επιστήμης δεδομένων, λέει ο Peter Wang, συνιδρυτής και Διευθύνων Σύμβουλος της Anaconda.

«Βλέπουμε μια τεράστια μερίδα ανθρώπων που βρίσκονται σε οργανισμούς όπου το IT έχει δημιουργήσει μια πολύ αυστηρή στάση γύρω από τον ανοιχτό κώδικα και την Python», λέει. «Αυτοί δεν είναι ειδικοί προγραμματιστές. … Είναι επιστήμονες δεδομένων και άνθρωποι μηχανικής μάθησης που μπορεί να μην είναι καθόλου έμπειροι προγραμματιστές, χρησιμοποιώντας ό,τι μπορούσαν να κατεβάσουν για να κάνουν την ανάλυσή τους και μετά το παρέδωσαν στην πληροφορική».

Η ασφάλεια των στοιχείων ανοιχτού κώδικα — και της αλυσίδας εφοδιασμού λογισμικού, γενικά — έχει γίνει πρωταρχικό μέλημα μεταξύ των προγραμματιστών λογισμικού, των επιχειρήσεων και των εθνικών κυβερνήσεων τα τελευταία δύο χρόνια. Τον Μάιο, για παράδειγμα, το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας των ΗΠΑ (NIST) εξέδωσε οδηγίες για την αντιμετώπιση κινδύνων στην αλυσίδα εφοδιασμού λογισμικού. Επιπλέον, ένας αυξανόμενος αριθμός προμηθευτών λογισμικού έχουν ενταχθεί με το Open Software Security Foundation (OpenSSF) του Linux Foundation.

Συνολικά, η ωριμότητα των προσπαθειών ασφάλειας των οργανισμών έχει βελτιωθεί. Περίπου οι μισές εταιρείες έχουν μια πολιτική ασφάλειας ανοιχτού κώδικα, η οποία οδηγεί σε καλύτερες επιδόσεις στα μέτρα ετοιμότητας ασφαλείας, σύμφωνα με την έρευνα του Ιουνίου. Επιπλέον, οι προσπάθειες για τον έλεγχο του κινδύνου ανοιχτού κώδικα αυξήθηκαν κατά 51% τους τελευταίους 12 μήνες, αναφέρεται μια μελέτη ωριμότητας τίτλων τον Σεπτέμβριο 21.

«[Με] την προσοχή που δίνεται στις αλυσίδες εφοδιασμού λογισμικού, οι περισσότεροι επιχειρησιακοί οργανισμοί υιοθετούν μια προσέγγιση βασισμένη στον κίνδυνο για την ασφάλεια εφαρμογών», δήλωσε ο Jason Schmitt, γενικός διευθυντής του Synopsys Software Integrity Group, σε δήλωση που ανακοινώνει τη μελέτη. «Μια τέτοια προσέγγιση αναγνωρίζει ότι η ασφάλεια δεν περιορίζεται στη βάση κωδικών. Περιλαμβάνει τη διαδικασία ανάπτυξης λογισμικού όπου οι αναθεωρήσεις και οι δοκιμές ασφαλείας «μετατοπίζονται παντού» για τη συνεχή βελτίωση των αποτελεσμάτων ασφαλείας».

Οι προγραμματιστές επεκτείνουν τη χρήση ανοιχτού κώδικα 

Σύμφωνα με άλλα δεδομένα, οι εταιρείες λογισμικού δεν βλέπουν καμία μείωση στη χρήση ανοιχτού κώδικα. Αντίθετα, οι οργανισμοί ανάπτυξης εστιάζουν στη βελτίωση της ασφάλειας του λογισμικού ανοιχτού κώδικα και στη χρήση της ασφάλειας ως πρωταρχικού οδηγού για την επιλογή στοιχείων.

Στο "2021 Κατάσταση της Εφοδιαστικής Αλυσίδας Λογισμικού» έκθεση, για παράδειγμα, η Sonatype διαπίστωσε ότι τα τέσσερα κορυφαία οικοσυστήματα ανοιχτού κώδικα — το Maven Central Repository (Java), Node.js (JavaScript), το Python Package Index (Python) και η γκαλερί NuGet (.NET) — φιλοξενούσαν 37 εκατομμύρια έργα και εξαρτήματα ανοιχτού κώδικα, αύξηση 20% από έτος σε έτος. Η ζήτηση για αυτά τα εξαρτήματα αυξάνεται επίσης: περισσότερα από 2.2 τρισεκατομμύρια εξαρτήματα κατεβάστηκαν, μια ετήσια αύξηση 73%.

Μια αυτοαναφερόμενη απομάκρυνση από πακέτα ανοιχτού κώδικα από την κοινότητα της επιστήμης δεδομένων είναι πιθανώς ενδεικτική της μεγαλύτερης ευαισθητοποίησης για θέματα ασφάλειας και λιγότερο σχετικά με την απόσυρση στοιχείων ανοιχτού κώδικα στην ανάπτυξη, λέει η Tracy Miranda, επικεφαλής του ανοιχτού κώδικα στο Chainguard.

Ενώ οι ομάδες επιστήμης δεδομένων και οι ομάδες ανάπτυξης μπορεί να έχουν αντιδράσει διαφορετικά σε σημαντικά ζητήματα ασφάλειας — όπως το Log4j 2.0 — Οι εταιρείες έχουν ελάχιστη προσφυγή όταν απομακρύνονται από ένα πακέτο ανοιχτού κώδικα παρά να υιοθετήσουν ένα διαφορετικό πακέτο του οποίου οι συντηρητές έχουν δώσει μεγαλύτερη έμφαση στην ασφάλεια, λέει.

«Οι εταιρείες αξιοποιούν τον ανοιχτό κώδικα ως τρόπο για να αυξήσουν την ταχύτητά τους, οπότε αν μειώνουν την κλίμακα, σε τι προσαρμόζονται; Γράφοντας κώδικα εσωτερικά; Χρησιμοποιείτε συσκευασμένες εκδόσεις τρίτων;» Η Miranda λέει, προσθέτοντας ότι αντ 'αυτού, "πιστεύω ότι μπορούμε να περιμένουμε να δούμε τις εταιρείες να είναι πιο οξυδερκείς σχετικά με την ποιότητα του ανοιχτού κώδικα που χρησιμοποιούν, ειδικά σε σχέση με τα χαρακτηριστικά ασφαλείας".

Οι Επιστήμονες Δεδομένων παίζουν Catch-up

Η αποσύνδεση μεταξύ των δύο πλευρών είναι πιθανό να οφείλεται στο διαφορετικό κοινό στις διάφορες έρευνες. Η έρευνα της Anaconda επικεντρώθηκε σε επαγγελματίες της επιστήμης δεδομένων, όπως φαίνεται από την επιλογή των γλωσσών προγραμματισμού του ερωτώμενου — το 58% χρησιμοποιούσε Python και το 42% χρησιμοποιούσε SQL, ενώ μόνο το 26% χρησιμοποιούσε JavaScript. 

Ένα καλύτερο μέτρο των συναισθημάτων των προγραμματιστών λογισμικού είναι το StackOverflow.Έρευνα προγραμματιστών 2022», το οποίο διαπίστωσε ότι ενώ το 58% των «ανθρώπων που μαθαίνουν να κωδικοποιούν» χρησιμοποιούν Python, μόνο το 44% των επαγγελματιών προγραμματιστών κωδικοποιεί σε αυτή τη γλώσσα. Από την άλλη πλευρά, το 68% των επαγγελματιών προγραμματιστών χρησιμοποιεί JavaScript, σύμφωνα με την έρευνα του StackOverflow.

Επιπλέον, ενώ η επαγγελματική επιστήμη δεδομένων εργάζεται σε εταιρείες που σε συντριπτική πλειοψηφία (87%) επιτρέπουν λογισμικό ανοιχτού κώδικα, περίπου το ένα τέταρτο (26%) έχει ελάχιστη επίβλεψη από το τμήμα πληροφορικής των επιλογών ανοιχτού κώδικα, αναφέρει η έκθεση Anaconda. Σε ένα άλλο 18% των εταιρειών, το τμήμα IT καθορίζει μόνο περίπου τα μισά από τα διαθέσιμα στοιχεία ανοιχτού κώδικα.

Οι συντηρητές των πιο κρίσιμων έργων - από τα οποία υπάρχουν εκατοντάδες, αν όχι χιλιάδες - πρέπει να χρησιμοποιούν ασφαλείς εξαρτήσεις, να δοκιμάσουν τον δικό τους κώδικα και να επικυρώσουν την αξιοπιστία των συντελεστών. Οι συντηρητές θα πρέπει επίσης να δημοσιεύσουν μια κάρτα βαθμολογίας ασφαλείας — μια πρωτοβουλία που δημιουργήθηκε από την Google που διαχειρίζεται τώρα το Open Source Security Foundation (OpenSSF), το οποίο δίνει βαθμό ασφαλείας σε ένα έργο με βάση σχεδόν 20 διαφορετικά κριτήρια.

Ενώ η ευαισθητοποίηση είναι πιθανό να αυξάνεται, δεν υπάρχει γρήγορη λύση, λέει η Miranda.

«Η πραγματικότητα είναι ότι οι πιο ασφαλείς επιλογές δεν υπήρχαν στο παρελθόν», λέει. "Το κόψιμο των περιττών εξαρτήσεων για τη μείωση της επιφάνειας επίθεσης είναι λογικό, αλλά είναι δύσκολο να γίνει όταν το δέντρο εξάρτησης έχει μεγαλώσει."