ล่าสุด Lineaje บริษัทบริหารจัดการด้านความมั่นคงปลอดภัยในห่วงโซ่อุปทานซอฟต์แวร์ (Software Supply Chain Security Management) ได้เผยแพร่รายงานฉบับใหม่ในชื่อ “What’s in Your Open-Source Software?” ซึ่งพบว่า 82% ของ Open-Source Software Component นั้น “มีความเสี่ยงโดยเนื้อแท้ (Inherently Risky)” ที่มีปะปนทั้งเรื่องช่องโหว่ (Vulnerabilities), ประเด็น Security, คุณภาพโค้ด หรือเรื่องการบำรุงรักษา
โดยรายงานได้ไฮไลท์ด้วยว่า แม้ว่าจะมีซอฟต์แวร์ในองค์กรมากกว่า 70% ที่เป็น Open Source แต่ Component เหล่านั้นมักจะไม่ได้มีการติดตาม (Track) บำรุงรักษา (Maintain) หรือว่าอัปเดต (Update) ใหม่ ซึ่งทำให้มีช่องโหว่สำคัญมากมายใน Software Supply Chain ซึ่งอาจทำให้เกิดภัยคุกคามขึ้นได้
สิ่งนี้ได้ออกตามหลังจากทาง CISA ได้เรียกร้องให้ผู้ให้บริการซอฟต์แวร์ดำเนินกระบวนการ “Secure-by-design” เพื่อส่งมอบโค้ดให้มีความมั่นคงปลอดภัยแบบ “Out of the box” ให้ได้
นอกจากนี้ Lineaje ยังพบความเสี่ยงที่มีนัยสำคัญท่ามกลางโซลูชัน Open Source ที่มีใช้งานกันในวงกว้าง โดยวิเคราะห์จากโครงการยอดนิยมกว่า 44 โครงการใน Apache Software Foundation แล้วพบว่า 68% ของ Dependencies นั้นมาจากโครงการที่ไม่ใช่ของ Apache Software Foundation ซึ่งหลาย ๆ ส่วนมาจากต้นทางที่มองไม่เห็นใด ๆ
เชื่อว่าหลายองค์กรได้เลือกที่จะใช้งาน Open Source กันอยู่แล้ว ดังนั้น องค์กรจึงควรมีการตรวจสอบด้าน Security สักเล็กน้อยก่อนเลือกใช้งาน และหมั่นอัปเดตให้เป็นเวอร์ชันล่าสุดเพื่อปิดช่องโหว่ที่อาจเกิดขึ้นได้เสมอ และสำหรับผู้ที่สนใจรายงานฉบับเต็มจากทาง Lineaje สามารถอ่านเพิ่มเติมได้ที่นี่
