CC BY
8УДК 004.056.5
Клименко А.О.
студент кафедры информационная безопасность в вычислительных системах и сетях Донской государственный технический университет (г. Ростов-на-Дону, Россия)
АНАЛИЗ И ПРИМЕНЕНИЕ ТЕХНОЛОГИЙ С ОТКРЫТЫМ ИСХОДНЫМ КОДОМ ДЛЯ ПОВЫШЕНИЯ КИБЕРБЕЗОПАСНОСТИ
Аннотация: открытый исходный код - это сообщество, основанное на прозрачности и сотрудничестве, которое может оказаться самым ресурсным инструментом в индустрии кибербезопасности. В статье рассматривается сравнение применения технологий с открытым и закрытым исходным, а также определены тенденции вразвии технологий с открытым исходным кодом.
Безопасность программного обеспечения с открытым исходным кодом (OSS) относится к процессам и инструментам, используемым для управления и обеспечения соответствия требованиям от производства до разработки. В работе были проанализированы и выделены преимущества и недостатки применения технологий с открытым исходным кодом для повышения кибербезопасности.
Ключевые слова: открытый код, закрытый код, кибербезопасность, лицензия ПО.
По мере того, как мы все глубже погружаемся в цифровую эпоху, значение кибербезопасности как нашей цифровой гарантии становится все более важным, особенно на фоне растущего ландшафта киберугроз.
Эволюция программного и аппаратного обеспечения с открытым исходным кодом (OSS) от ниши к необходимости подчеркивает его решающую роль в обеспечении всего - от наших повседневных гаджетов до важнейшей инфраструктуры, лежащей в основе нашего общества. Этот преобразующий рост в области технологий с открытым исходным кодом не только ускоряет
инновации за счет быстрой разработки и внедрения, но и выдвигает на первый план насущную необходимость устранения последствий для безопасности.
Программное обеспечение с открытым исходным кодом - одна из самых инновационных разработок последних нескольких десятилетий. Открытый исходный код - это сообщество, основанное на прозрачности и сотрудничестве, которое может оказаться самым ресурсным инструментом в индустрии кибербезопасности. Открытый исходный код - это общедоступный и редактируемый код. Проекты с открытым исходным кодом обычно контролируются одним или несколькими сопровождающими, но поощряют внешний вклад, такой как добавление новых функций, отзывы об ошибках (и их исправлениях) и улучшения безопасности. Другими словами, открытый исходный код - это движение за совместную разработку программного обеспечения. Применение методологии совместной работы с открытым исходным кодом для кибербезопасности может сильно повлиять на безопасность каждого.
Правовая база технологий с OSS определяется различными пользовательскими лицензиями, ограничивающими свободу использования разработчиками чужого открытого исходного кода, наиболее известной является GNU GPL (Общая общественная лицензия).
Сейчас ПО с открытым исходным кодом распространяются под лицензиями нескольких видов:
Public Domain. Такие лицензии относятся чаще всего к творческим материалам. Эти работы являются общественным достоянием и принадлежат всему обществу, а не отдельным авторам и разработчикам. Ими можно пользоваться как угодно, не спрашивая разрешения. Соответственно, на них не распространяется авторское право, интеллектуальная собственность, законы о товарных знаках и патентах. Примером подобной лицензии является СС Zero от Creative Commons.
Permissive. По своему характеру они похожи на public domain, но не требуют отказа от авторского права. Такие лицензии практически не
ограничивают использование программного продукта пользователями и разработчиками. Они также не ограничивают применение других лицензий к продуктам, производным от исходного, то есть не являются копилефтными. Примерами таких лицензионных соглашений являются BSD, MIT, Apache, WTFPL.
Copyleft. Название категории — производный антоним от copyright, то есть такие лицензии дают право распространять копии и производные от исходного продукта без разрешения автора или владельца авторских прав. Однако распространение должно подчиняться той же лицензии, что и исходный продукт, что означает нельзя делать проприетарным софт, являющийся производным от свободного. Примерами copyleft-лицензии являются Creative Commons Attribution ShareAlike и GPL.
С точки зрения бизнеса открытый исходный код воплощает в себе определенную бизнес-модель. Если проект с открытым исходным кодом, возможно создание вариантов, которые существуют вне контроля компании, экономическая модель вращается в основном вокруг услуг или сопровождения. Это делает финансово выгодным для компаний внедрение блоков или приложений с открытым исходным кодом при условии, что они хорошо осведомлены об ограничениях каждой лицензии
Программное обеспечение с закрытым исходным кодом сохраняет исходный код зашифрованным и безопасным. Пользователи не могут изменять, копировать или удалять разделы кода без последствий, начиная от отмены гарантии и заканчивая юридическими последствиями.
С другой стороны, программное обеспечение с открытым исходным кодом является противоположным, оно позволяет пользователям изменять, удалять или копировать разделы кода по своему усмотрению, более того, пользователь может использовать функции в своей программе без каких-либо последствий.
Также стоит отметить, что проприетарное программное обеспечение имеет встроенные средства контроля для предотвращения использования
несовместимых или нескольких версий. Элементы с открытым исходным кодом обычно зависят от пользователей для проверки правильности использования. Хотя проприетарное программное обеспечение также имеет уязвимости, раскрытие исходного кода является серьезной проблемой соответствия требованиям. Этот подход, называемый "безопасность через неизвестность", имеет несколько недостатков.
Так некоторые лидеры в области безопасности считают проприетарное программное обеспечение более безопасным, чем операционные системы, поскольку его код скрыт. В конце концов, даже если в коде есть недостатки, злоумышленники не смогут их использовать, если не смогут их увидеть.
Ниже приведены некоторые опасности программного обеспечения с открытым исходным кодом:
чрезмерный доступ и уязвимости кода: открытый доступ подразумевает, что код доступен всем, в результате это создает возможности для злоумышленников манипулировать кодом по своему
усмотрению. Использование операционных систем может предоставить злоумышленникам множество возможностей для несанкционированного доступа к информации и сетям,
отсутствие поддержки: в большинстве систем с открытым исходным кодом нет специальной группы поддержки. Без надежных групп поддержки исправления и обновления безопасности могут быть недоступны. Если злоумышленники обнаружат уязвимости в программном обеспечении с открытым исходным кодом, они могут использовать эти системные недостатки для получения несанкционированного доступа к информации и сетям компании,
отсутствие проверки: отсутствует гарантия, что квалифицированные эксперты проводят надлежащее тестирование и контроль качества при разработке программного обеспечения с открытым исходным кодом или что те, кто проверяет код, тщательно оценивают его безопасность, т.е отсутствие
подтверждения может сделать компьютерную инфраструктуру уязвимой для атак,
совместный и адаптируемый характер работы с открытым исходным кодом затрудняет мониторинг недостатков безопасности, особенно когда проекты изменяются или разветвляются на новые версии, что потенциально приводит к появлению новых уязвимостей.
Учитывая последние отчеты об атаках на кибербезопасность в нескольких организациях, крайне важно обеспечить надлежащую защиту веб-приложений, программного обеспечения, цепочки поставок и данных фирмы от вредоносных программ, программ-вымогателей и фишинговых угроз.
На сегодняшний день разработка технологий с открытым исходным кодом (OSS), определяется коллективной работой множества компаний, начиная с маленьких стартапов и заканчивая технологическими гигантами, что в свою очередь способствует совместной защите технологий компании, обеспечивая лучшую безопасность для всех участников, поскольку когда компания исправляет ошибку или добавляет код для усиления своих систем, они усиливают защиту любой другой компании, использующей то же программное обеспечение с открытым исходным кодом. Сотрудничество инструментов кибербезопасности создает единую, более надежную защиту от кибератак, устраняя эти пробелы. И стоит отметить, что всё больше компаний нацелены на развитие отрасли в целом
Кроме того, технология блокчейн представляет собой многообещающий путь для укрепления доверия в экосистеме с открытым исходным кодом, предлагая надежный метод проверки вклада и снижения потенциальных рисков безопасности. Блокчейн - это технология, позволяющая хранить и передавать данные в защищенной форме, используя цепочку блоков, связанных между собой специальными ключами, где каждый блок содержит информацию о предыдущем блоке, что делает цепочку неразрывной. Любая попытка изменить данные в одном из блоков приведет к нарушению целостности всей цепочки, что делает блокчейн надежным средством защиты информации от
несанкционированного доступа и манипуляций. Предоставляя прозрачный и неизменяемый реестр вкладов, блокчейн может облегчить точное отслеживание изменений и обновлений, гарантируя, что проекты с открытым исходным кодом являются безопасными и актуальными.
Внедрение программного обеспечения с открытым исходным кодом сводит к минимуму затраты на общую разработку и позволяет разработчикам сосредоточиться на работах с большей добавленной стоимостью. Еще одним значительным преимуществом программного обеспечения с открытым исходным кодом является его более низкая стоимость. В случае возникновения проблемы вы можете легко открыть и исправить код немедленно, не дожидаясь ответа поставщика.
Открытый исходный код также может способствовать развитию решений для обеспечения безопасности электронной почты. Доступное и унифицированное программное обеспечение может сыграть большую роль в условиях кибератаки и в защите деловой электронной почты. Благодаря доступности и прозрачности открытого исходного кода эти продукты могут быть спроектированы таким образом, чтобы достигать более высоких уровней качества, надежности и безопасности в течение более длительного времени, чем проекты, в которых не используется модель разработки с открытым исходным кодом.
Некоторые примеры технологий с открытым исходным кодом, которые могут быть использованы для повышения кибербезопасности:
Linux: Операционная система с открытым исходным кодом, которая широко используется на серверах и рабочих станциях.
OpenSSL: Библиотека шифрования с открытым исходным кодом, которая используется для обеспечения безопасности соединений по протоколу HTTPS.
Snort: Система обнаружения и предотвращения вторжений с открытым исходным кодом, которая может быть использована для обнаружения и блокировки кибератак.
OSSEC: Система обнаружения и предотвращения вторжений с открытым исходным кодом, которая может быть использована для обнаружения и блокировки кибератак.
Быстрые темпы технологического прогресса часто опережают способность существующих мер безопасности оставаться эффективными. Поэтому стратегии безопасности, характерные для технологий с открытым исходным кодом, должны демонстрировать беспрецедентную гибкость, позволяя быстро адаптироваться к возникающим угрозам. Кроме того, масштабы и изощренность киберугроз расширяются, создавая риски для все более широкого круга систем. Устранение этих передовых угроз требует беспрецедентного уровня сотрудничества отдельных лиц и организаций по всему миру, что подчеркивает необходимость единого фронта в области кибербезопасности.
В современной ИТ-ландшафте рынок программного обеспечения с открытым исходным кодом демонстрирует впечатляющий рост, успешно оспаривая доминирование коммерческих решений. Модель OSS открывает перед пользователями новые возможности, позволяя им использовать высококачественные продукты либо без каких-либо затрат, либо по доступной цене, что существенно расширяет их свободу выбора и доступ к инновационным технологиям.
СПИСОК ЛИТЕРАТУРЫ:
1. What is Open Source? How to Contribute to OSS Projects / Freecodecamp [Электронный ресурс] — URL: https://www.freecodecamp.org/news/what-is-open-source-software/ (дата обращения 21.09.2024);
2. Software Composition Analysis: What it is and why you need it / Vwracity [Электронный ресурс] — URL: https://www.veracity.com/article/what-is-software-composition-analysis-for-open-source-security (дата обращения 18.09.2024);
3. Manage Vulnerabilities in ICS Open Source Software / ISA GCA [Электронный ресурс] — URL: https://gca.isa.org/blog/manage-vulnerabilities-in-ics-open-source-software/ (дата обращения 19.09.2024);
4. Hayes, D. R. Open-source intelligence for risk assessment/ Darren R. Hayes, Francesco Cappa // Business Horizons. - 2018 - 61(5), 689-697
Klimenko A.O.
Don State Technical University (Rostov-on-Don, Russia)
ANALYSIS AND APPLICATION OF OPEN SOURCE TECHNOLOGIES TO ENHANCE CYBERSECURITY
Abstract: open source is a community based on transparency and collaboration, which may turn out to be the most resourceful tool in the cybersecurity industry. The article discusses the comparison of the use of open and closed source technologies, and also identifies trends in the development of open source technologies.
Open Source Software Security (OSS) refers to the processes and tools used to manage and ensure compliance from production to development. The paper analyzed and highlighted the advantages and disadvantages of using open source technologies to enhance cybersecurity.
Keywords: open source, closed source, cybersecurity, software license.
