Сенчестия код - създава риск за деветдесет и девет процента от уебсайтовете – кой нарича така Отворения Код

И най-важното : Защо ?

"Кодът в сянка-скриптове" и библиотеки на трети страни, често добавяни към уеб приложения без проверка на сигурността-създават рискове за уебсайтовете и застрашават спазването на правилата за поверителност, според ново проучване, публикувано наскоро. Изследователите отбелязват, че кодът на трети страни оставя организациите уязвими за дигитално скимиране и Magecart атаки.
Тук трябва да уточня, че става въпрос за библиотеки и скриптове с Отворен Код, които улесняват и помагат за добавяне на функционалности за всеки уебсайт.

Дали има някакъв или много голям риск при използването на код на трети страни ?

Загрижеността относно атаките по веригата на доставки също се увеличи, от 28 процента през 2020 г. на 50 процента през 2021 г. Тревогата от атаките на Magecart също скочи значително от миналата година с 47 процента. Magecart или електронно прелистване е форма на измама, при която данните за транзакциите се прихващат при плащане на онлайн магазин.

Но дали тези атаки имат нещо общо с Отворения код ?

Разработчиците използват код на трета страна по редица причини.
Първо той е лесно достъпен.
Някои казват че :
"Има неправилно предположение, че ако е там и с отворен код, то е сигурно"
Други казват :
„Те вярват, че кодът с отворен код, който използват, или библиотеките, които използват, са защитени“

Трябва да се знае, че библиотеките играят важна роля в разработването на приложения, тъй като те предоставят функционалност, която ще отнеме много време за разработване, и в много случаи биха били по -податливи на потенциални грешки и експлоатации, ако са разработени вътрешно(от екип на фирмата).

В повечето случаи библиотеките на трети страни дори могат да бъдат по-сигурни от кода, написан от екипи за вътрешно разработване, дори ако са открити уязвимости в най-реномираните библиотеки.

Ако дори най -реномираната библиотека, потенциално поддържана от стотици експерти в спецификата на това, което библиотеката прави, може да има уязвимости, опитите да се изгради и поддържа една и съща функционалност вътрешно с малък екип от разработчици, които вероятно не са експерти по функционалността, биха могли потенциално да бъдат катастрофални.

Много компоненти на трети страни и с отворен код ще им позволят да добавят основна функционалност и да се съсредоточат върху някои от по-сложните диференциращи аспекти на продукта

Някой казват, че има риск, които отворения код може да създаде за организациите. И най-важното е, че доста хора наричат този код – код в сянка.
Дали са прави ?
Ние смятаме, че те не са прави а това са просто опити тези библиотеки с отворен код да бъдат купени от някоя компания и кода да бъде затворен и всички да почнат да плащат за ползването му.
Но тогава ще се появи следващият риск за тези библиотеки а именно, те ще останат на това ниво и няма да имат никакво обновяване или ако имат обновяване то няма да работи правилно.
Тук искам да спомена един факт : преди години Бил Гейтс искаше да купи Линукс. А всички знаем че Линукс е с отворен код. И въпреки, че е с Отворен Код е много по-сигурна и защитена операционна система от Уиндоуса на Бил Гейтс.
Да има и вируси за Линукс, но е много трудно вирус да влезе в операционната система , това може да стане само ако човека, който сези зад компютара го активира сам.

Ето какво казват от Компании, които разработват собствен код :
*"В допълнение към техническите рискове", продължи той, "рисковете за репутацията биха могли да бъдат катастрофални, ако уязвимостта бъде въведена в приложението ви в резултат на непокрита библиотека на трети страни." Когато на организацията липсва видимост на кода с отворен код, който използва, могат да възникнат и рискове за лицензирането.

*„Компонент с отворен код може да има ограничителен лиценз“, обясняват от една компания. „Изведнъж добавихте компонент към кода си, който изисква от вас да отворите цялото приложение с отворен код“, продължи тя. „Сега вашата организация е изложена на риск, защото целият ви патентован код трябва да бъде с отворен код.“

Ето това са истинските причини доста компании да не харасват Отворения Код но трябва да се отбележи, че го ползват. И понеже не могат да го затворят обвиняват Отворения Код за за хакерските атаки.

Персонализираният код се свива и използването на код на трети страни расте - Отворен Код. И ако не управлявате правилно кодовата база, която използвате, може да вмъкнете уязвимости в софтуера си, без да го знаете. Затова всички разработчици на софтуер трябва да бъдат грамотни и да знаят, какво правят. Когато наемате, някой да ви прави софтуер трябва да се убедите, че е способен.