Meglio della sua reputazione: perché le aziende tedesche sottovalutano ancora i vantaggi della sicurezza IT del software open source. Open Source Monitor 2021 di Bitkom fornisce risposte importanti alle domande di sicurezza.
Il software open source (OSS) ha trovato il suo posto nell'economia tedesca: Secondo Bitkom Open Source Monitor 2021 circa sette aziende su dieci utilizzano applicazioni il cui codice sorgente di base è pubblicamente disponibile. I partecipanti al sondaggio apprezzano molti vantaggi diversi, ma hanno comunque una visione critica del tema della sicurezza IT. Gli intervistati hanno convenuto che la mancanza di esperti OSS specializzati è uno dei principali svantaggi delle soluzioni open source. I risultati del sondaggio mostrano quanto possano essere importanti la consulenza, la formazione ei servizi forniti dai fornitori di software open source per realizzare i vantaggi delle soluzioni.
Software open source popolare per il risparmio sui costi
Il risparmio sui costi (24%) e l'accesso al codice sorgente (14%) sono stati menzionati più frequentemente come vantaggi di un OSS. Il fenomeno non si concentra affatto sulle piccole imprese attente ai costi e all'utilizzo di pacchetti office gratuiti. Al contrario: la percentuale di intervistati che utilizza OSS è aumentata con le dimensioni dell'azienda fino all'87% con più di 2.000 dipendenti.
Tra l'altro, le aziende utilizzano sia programmi di database e applicazioni di scrittura o grafica, sia servizi Web e sistemi operativi per server. Questi ultimi, in particolare, devono soddisfare severi standard di sicurezza informatica per non diventare un gateway per gli incidenti di sicurezza, ovvero un punto debole. Tuttavia, solo il XNUMX% degli intervistati considera un elevato livello di sicurezza attraverso aggiornamenti tempestivi un vantaggio dell'OSS. Nella categoria della sicurezza IT, la stabilità del software e il suo basso tasso di errore seguono al secondo posto con appena il due percento.
La comunità è uno strumento di test del codice permanente
Ciò potrebbe sorprendere gli specialisti che sono attivamente coinvolti nell'argomento open source e nella sicurezza IT. Perché la sicurezza del software e il suo codice open source sono strettamente legati da molti punti di vista. Le soluzioni popolari il cui codice è pubblicamente visibile raccolgono una comunità attiva di utenti e sviluppatori da diverse aree intorno a loro. Portano interessi diversi e quindi prospettive al controllo del codice sorgente: alcuni vogliono sapere come funziona il software, altri cercano attivamente i punti deboli come hobby o vogliono adattare l'applicazione alle esigenze individuali.
Le righe di codice rilevanti per la sicurezza vengono rilevate rapidamente, indipendentemente dal fatto che si tratti di vulnerabilità, backdoor o valutazioni di dati indesiderate. La comunità consente un rapido scambio di bug, problemi applicativi o anche potenziali rischi per la sicurezza e quindi accelera l'implementazione di una patch. Allo stesso tempo, è difficile nascondere le funzioni in un software, quindi il modo in cui funziona è molto trasparente.
Software PKI EJBCA – open source come caso migliore
Per le applicazioni il cui codice sorgente non è pubblicamente accessibile, le aziende devono fidarsi che i provider abbiano implementato la sicurezza IT nel miglior modo possibile e, ad esempio, non abbiano integrato alcuna funzione di tracciamento indesiderata. L'open source consente la revisione da parte di esperti interni e membri della comunità indipendenti.
L'esempio del software EJBCA per l'infrastruttura a chiave pubblica (PKI) mostra quanto questo possa essere di vasta portata nella sicurezza IT. Questo è disponibile come OSS e contiene tutti i componenti necessari per l'implementazione di una PKI come Certificate Authority (CA), Registration Authority (RA) e Validation Authority (VA) per emettere certificati crittografici per determinare le identità dei dispositivi finali e degli utenti.
Le identità digitali e le loro applicazioni sono tra gli elementi costitutivi fondamentali della sicurezza dei dati e delle informazioni. La fiducia nell'infrastruttura di emissione può essere tanto forte quanto la fiducia nei singoli componenti software. Poiché esiste una comunità EJBCA globale e attiva che analizza ed estende il codice sorgente, esiste un'ottima conoscenza di ciò che la CA può fare e di come funziona. Le aziende che integrano l'applicazione nella propria PKI ottengono quindi un'ulteriore garanzia che le promesse fatte saranno mantenute.
Venditori OSS e carenza di competenze
Come svantaggio del software open source, l'88% degli intervistati nello studio menzionato all'inizio ha indicato la mancanza di specialisti per OSS. Per le applicazioni più diffuse, le aziende possono trovare aiuto da fornitori specializzati come PrimeKey e i loro partner, che possono fornire servizi di consulenza, formazione, implementazione e manutenzione oltre al software. Di conseguenza, le organizzazioni prive di un proprio know-how possono implementare scenari applicativi speciali che richiedono modifiche al codice sorgente, mentre la comunità continua a essere a loro disposizione come autorità di controllo.
Altro su Primekey.com
A proposito di PrimeKey
PrimeKey è uno dei principali fornitori mondiali di soluzioni PKI e ha sviluppato una serie di prodotti innovativi. Questi includono EJBCA Enterprise, SignServer Enterprise, EJBCA Appliance, PrimeKey SEE e Identity Authority Manager. In qualità di pioniere nel campo del software open source per la sicurezza informatica, PrimeKey aiuta le aziende e le istituzioni a implementare soluzioni di sicurezza chiave come e-ID, passaporti biometrici, autenticazione, firme digitali e identità digitali uniformi e convalida.