Краще за свою репутацію: чому німецькі компанії все ще недооцінюють переваги ІТ-безпеки програмного забезпечення з відкритим кодом. Монітор відкритого коду Bitkom 2021 надає важливі відповіді на запитання безпеки.
Програмне забезпечення з відкритим кодом (OSS) знайшло своє місце в німецькій економіці: За даними Bitkom Open Source Monitor 2021 близько семи з десяти компаній використовують програми, базовий вихідний код яких є загальнодоступним. Учасники опитування оцінюють багато різних переваг, але все ж критично ставляться до теми ІТ-безпеки. Респонденти погодилися, що недолік спеціалізованих OSS-експертів є головним недоліком рішень з відкритим кодом. Результати опитування показують, наскільки важливі поради, навчання та послуги, що надаються постачальниками програмного забезпечення з відкритим кодом, для реалізації переваг рішень.
Програмне забезпечення з відкритим кодом, популярне завдяки економії коштів
Серед переваг OSS найчастіше згадувалися економія (24 відсотки) і доступ до вихідного коду (14 відсотків). Це явище аж ніяк не зосереджено на чутливих до витрат малих підприємствах і використанні безкоштовних офісних пакетів. Навпаки: частка респондентів, які використовують OSS, зросла разом із розміром компанії до 87 відсотків із понад 2.000 співробітників.
Серед іншого, компанії використовують як програми баз даних, так і програми для написання чи графіки, а також веб-сервіси та серверні операційні системи. Останній, зокрема, повинен відповідати вимогливим стандартам ІТ-безпеки, щоб не стати шлюзом для інцидентів безпеки, тобто слабким місцем. Однак лише сім відсотків опитаних вважають високий рівень безпеки завдяки своєчасним оновленням перевагою OSS. У категорії ІТ-безпека стабільність програмного забезпечення та низький рівень помилок посідають друге місце з лише двома відсотками.
Спільнота є постійним інструментом тестування коду
Це може стати несподіванкою для фахівців, які активно займаються темою відкритого коду та ІТ-безпеки. Оскільки безпека програмного забезпечення та його відкритий вихідний код тісно пов’язані багатьма очима. Популярні рішення, код яких є загальнодоступним, збирають навколо себе активну спільноту користувачів і розробників з різних областей. Вони привносять різні інтереси та, отже, перспективи перевірки вихідного коду: одні хочуть знати, як працює програмне забезпечення, інші активно шукають слабкі місця як хобі або хочуть адаптувати програму до індивідуальних потреб.
Важливі для безпеки рядки коду швидко помічаються, незалежно від того, чи є вони вразливими місцями, бекдорами чи небажаними оцінками даних. Спільнота дає змогу швидко обмінюватися повідомленнями про помилки, проблеми з додатками чи навіть про потенційні ризики безпеки, що прискорює розгортання виправлення. У той же час складно приховати функції в програмному забезпеченні, тому спосіб його роботи дуже прозорий.
Програмне забезпечення PKI EJBCA – найкращий варіант з відкритим кодом
Для додатків, вихідний код яких не є загальнодоступним, компанії повинні бути впевнені, що постачальники запровадили ІТ-безпеку найкращим можливим способом і, наприклад, не інтегрували жодних небажаних функцій відстеження. Відкритий вихідний код дозволяє переглядати власні експерти та незалежні члени спільноти.
Приклад програмного забезпечення інфраструктури відкритих ключів (PKI) EJBCA показує, наскільки це може бути далекосяжним для ІТ-безпеки. Він доступний як OSS і містить усі необхідні компоненти для впровадження PKI, такі як центр сертифікації (CA), центр реєстрації (RA) і центр перевірки (VA), щоб видавати криптографічні сертифікати для визначення ідентифікаційних даних кінцевих пристроїв і користувачів.
Цифрові ідентифікатори та їх застосування є одними з основних будівельних блоків безпеки даних та інформації. Довіра до інфраструктури випуску може бути настільки ж сильною, як довіра до окремих компонентів програмного забезпечення. Оскільки існує глобальна та активна спільнота EJBCA, яка аналізує та розширює вихідний код, є дуже добре знання того, що ЦС може робити та як це працює. Тому компанії, які інтегрують програму у власну PKI, отримують додаткову впевненість у тому, що дані їм обіцянки будуть дотримані.
Постачальники OSS і дефіцит навичок
Як недолік програмного забезпечення з відкритим кодом 88 відсотків опитаних у згаданому на початку дослідженні назвали брак спеціалістів для OSS. Для популярних програм компанії можуть отримати допомогу від спеціалізованих постачальників, таких як PrimeKey та їхніх партнерів, які можуть надати консультації, навчання, впровадження та обслуговування на додаток до програмного забезпечення. У результаті організації без власного ноу-хау можуть реалізувати спеціальні сценарії додатків, які вимагають коригування вихідного коду, тоді як спільнота продовжує бути доступною для них як орган контролю.
Більше на Primekey.com
Про PrimeKey
PrimeKey є одним із провідних світових постачальників рішень PKI і розробив низку інноваційних продуктів. До них належать EJBCA Enterprise, SignServer Enterprise, EJBCA Appliance, PrimeKey SEE та Identity Authority Manager. Будучи піонером у галузі програмного забезпечення з відкритим кодом для ІТ-безпеки, PrimeKey допомагає компаніям і установам впроваджувати ключові рішення безпеки, такі як електронне посвідчення особи, біометричні паспорти, автентифікація, цифрові підписи та єдині цифрові ідентифікатори та підтвердження.