Open source danas čini više od 70% ukupnog softverskog koda koji se koristi u svetu. Prema izveštajima kompanije Synopsys i Linux Foundation-a, 96% komercijalnih projekata oslanja se na open source komponente. Iako to donosi fleksibilnost i brzinu razvoja, istovremeno otvara niz bezbednosnih i održivih izazova koje programeri ne smeju da ignorišu.
Open source ekosistem eksplodirao je poslednjih godina. Samo na NPM-u broj projekata porastao je sa milion u 2019. na 3,6 miliona u 2022. godini. Svaki od tih projekata često ima desetine zavisnosti, što znači da jedan softverski paket može povući ogroman lanac drugih biblioteka. Vizualizacije stvarnih projekata pokazuju zavisnosti toliko složene da mnogim developerima izazivaju blagu paniku.
Upravo zato je neophodno da se svaka nova biblioteka ili framework proceni sa punom pažnjom, jer svaka dodatna zavisnost nosi i novi nivo rizika. To ne znači da treba izbegavati open source, već da treba pažljivo birati i stalno pratiti šta se koristi u sopstvenom kodu.
Rastući broj ranjivosti ne znači nužno lošiji softver
Broj prijavljenih CVE ranjivosti u softveru porastao je sa 6.457 u 2016. na gotovo 29.000 u 2023. godini. Ipak, to ne mora da znači da softver postaje nesigurniji, već da postoji više projekata, bolja svest o bezbednosti i više istraživača koji aktivno prijavljuju ranjivosti.
Zanimljivo je da projekat bez CVE prijava nije automatski sigurniji. Takav projekat najčešće jednostavno nije bio temeljno analiziran, dok onaj sa više CVE prijava pokazuje da prolazi kroz stalne bezbednosne provere i ima aktivnu zajednicu koja reaguje.
Kako prepoznati kvalitetan open source projekat
Najvažniji faktor je pitanje ko održava projekat. Analize NPM-a pokazuju da većina paketa ima samo jednog maintainer-a, što može dovesti do burnout-a i sporijih reakcija na probleme. Čak 45% developera u Intelovom istraživanju navelo je upravo to kao glavni izazov.
Idealno je birati projekte koje održava više developera ili timova iz različitih kompanija, jer to donosi stabilnost i raznolikost znanja. Aktivnost se može lako proveriti pregledom poslednjih commit-a, pull requestova i issue liste. Projekti koji dugo miruju često predstavljaju rizik jer mogu biti napušteni ili zastareli.
Pored toga, proverite učestalost verzionisanja, dokumentaciju, postojanje automatskih testova i jasno definisane licence. Projekat bez licence nosi pravne rizike i pokazuje manjak profesionalizma.
Značaj aktivne zajednice i alata za proveru bezbednosti
Snažna zajednica znak je da projekat ima zdrav ekosistem. Projekti sa contributors guide fajlovima, aktivnim forumima i prijavljenim ispravkama ranjivosti ukazuju na zrelu infrastrukturu.
Danas postoje i alati koji pomažu u objektivnoj proceni open source projekata.
CVE Binary Tool automatski prepoznaje ranjive komponente i generiše izveštaje u različitim formatima, dok OpenSSF Best Practices Badge označava projekte koji poštuju najbolje sigurnosne standarde. Tu je i OpenSSF Scorecard, koji automatski ocenjuje repozitorijume na osnovu više kriterijuma, uključujući bezbednosne prakse i aktivnost developera. Na primer, Python Fire, Google-ov projekat, ima ocenu 5.5 od 10, što ukazuje na srednji nivo sigurnosti i jasno pokazuje koje oblasti treba unaprediti.
Odgovornost dolazi sa svakim importom
Kada se open source biblioteka uključi u kod, odgovornost prelazi i na vas. Potrebno je redovno pratiti ažuriranja, bezbednosne izveštaje i promene u zajednici. Ako projekat koristite, dobro je da mu i doprinesete: prijavite bagove, ispravite ranjivosti ili pomozite u dokumentaciji.
Open source je zajednički resurs koji može biti moćan saveznik svake kompanije i svakog developera, ali samo ako se koristi pažljivo i odgovorno.