Theo một báo cáo mới từ Snyk và The Linux Foundation, cách liền mạch nhất để nâng cấp bảo mật của phần mềm nguồn mở là các nhà cung cấp bảo mật chịu trách nhiệm về công cụ bảo mật thông minh.
Báo cáo đã khảo sát những người đóng góp, người bảo trì và nhà phát triển phần mềm nguồn mở, cho thấy 59% cá nhân đồng ý rằng các nhà cung cấp cần phải “bổ sung thêm thông tin đáng tin cậy cho công cụ bảo mật” để cải thiện tình trạng bảo mật nguồn mở một cách rộng rãi hơn. Người dùng cuối các tổ chức xem các nhà cung cấp như là “hệ số nhân lực”, đề xuất cho trường hợp này có lợi cho cả những người dùng cũng như các nhà cung cấp. Báo cáo giải thích, việc tự động hóa các công cụ bảo mật thông minh sẽ giúp giảm bớt gánh nặng cho các chuyên gia bảo mật trong một thị trường cạnh tranh.
Theo báo cáo, đối với các tổ chức thường có nguồn tài nguyên khan hiếm, các công cụ bảo mật mã nguồn mở thông minh được kỳ vọng sẽ cung cấp giá trị một cách minh bạch mà không ảnh hưởng đến năng suất của nhà phát triển, theo báo cáo.
Xác định chứng chỉ bảo mật, các phương pháp tốt nhất
Hành động quan trọng thứ hai để cải thiện trạng thái bảo mật nguồn mở là thu thập các chứng chỉ và phương pháp tốt nhất để phát triển phần mềm an toàn.
Báo cáo viết: “người dùng cuối của các tổ chức rất quan tâm đối với các phương pháp tốt nhất cho việc phát triển phần mêm an toàn ”. Điều này cho thấy tổ chức đầu tư nhiều hơn trong việc giải quyết đầy đủ vấn đề bảo mật nguồn mở.
Nhiều chương trình, chứng chỉ và phương pháp tốt nhất để đánh giá các dự án nguồn mở đã tồn tại, chẳng hạn như dự án Supply chain Levels for Software Artifacts (SLSA) của Google và Open Source Security Foundation (OpenSSF). OpenSSF cũng cung cấp các khóa học về phát triển phần mềm an toàn với chứng chỉ cho những cá nhân hoàn thành khóa đào tạo.
Kiểm soát và tự động hóa mã nguồn mở
Sự ràng buộc giữa việc tăng cường tự động hóa và giám sát bảo mật là cách phổ biến thứ ba mà những người trả lời khảo sát nói rằng họ có thể cải thiện bảo mật nguồn mở. Với các công cụ tự động hóa như infrastructure-as-code (IaC) and policy-as-code (PaC), máy diễn giải sự vận hành chính sách bảo mật mỗi lần, cho phép đánh giá liên tục cơ sở hạ tầng đám mây trên quy mô lớn..
Báo cáo giải thích: “Mặc dù các cuộc đánh giá về bảo mật không thể đánh giá một cách toàn diện về mức độ rủi ro bảo mật của một tổ chức, nhưng các tổ chức phải tự đặt mình vào vị trí để tìm ra sự kiểm soát đó điều này quá xa vời với những tổ chức không có chính sách bảo mật. Hơn 40% tổ chức cho biết họ không tin tưởng vào bảo mật nguồn mở của mình”
