Az orosz Facebookot érintő kockázat aggodalomra ad okot az ingyenes vagy nyílt forráskódú megoldások miatt

Az ingyenes vagy nyílt forráskódú megoldások informatikai piacon történő alkalmazása általában olyan előnyökhöz kapcsolódik, mint a költségcsökkentés és a rugalmasság, de egy sor esetnek nagy aggályai vannak, különösen a biztonság tekintetében a rendszerek bevezetésére vonatkozó döntés során. Az egyik utolsó esemény ezzel kapcsolatban az volt, hogy május elején megerősítették az “Easyjson” nyílt forráskódú szoftverek könyvtárát az orosz VK csoport fejlesztőivel, akiknek teljesítményét és főszereplőjét az adott országban a Facebookhoz hasonlítják. Mivel a könyvtárat széles körben használják olyan kritikus projektekben, mint a Kubernetes, az Istio és a Grafana, attól tartanak, hogy a geopolitikai célok veszélybe sodorják a kémkedés vagy a kibertámadások révén, különösen az olyan érzékeny ágazatokban, mint a védelem és a pénzügy.

Rodrigo Gazola, az Addee vezérigazgatója és alapítója számára, amely 30 éve működik az IT-menedzsment megoldások piacán, az “Easyjson’ esete csak egy újabb, amely megerősíti a vállalatok nyílt forráskódú megoldásokkal kapcsolatos aggodalmát. “Az a tény, hogy ezek a technológiai struktúrák nyilvánosak, lehetővé téve, hogy bárki (beleértve a támadókat is) tanulhasson és kiskapukat keressen, nagy kockázati tényező, mert a legtöbb nyílt forráskódú megoldás nem kínál ingyenes hivatalos támogatást, ami a kritikus helyzetekben teljesen segítség nélkül hagyhatja a cégeket, csak a fórumoktól és a közösségtől függően” – mondja.

Gazola más, nyílt forráskódú programokkal kapcsolatos közelmúltbeli eseteket idéz. Tavaly decemberben az Ultralytics Yolo Project, egy nyílt forráskódú mesterséges intelligencia könyvtár a GitHub Actions Automation szkriptek sebezhetősége miatt veszélybe került. A támadók ezt a hibát kihasználva rosszindulatú kódot injektáltak a szoftver elosztott verzióiba. Korábban, 2024 októberében a kiberbűnözők több száz rosszindulatú csomagot tettek közzé az NPM-tárban, a legitim könyvtárakhoz hasonló neveket használva (Typosquatting néven ismert). A cél az volt, hogy rávegyék a fejlesztőket, hogy telepítsék ezeket a feltört csomagokat, lehetővé téve a rosszindulatú kódok futtatását a rendszereiken.

Szerinte ez az aggodalomra okot adó forgatókönyv megnövelte a brazil vállalatok keresletét a biztonságosnak és gazdaságosnak elismert gyártók által kínált megoldások iránt. Hiszen amikor a szabad vagy nyílt forráskódú eszközöket választják, a szervezetek kénytelenek megbirkózni azzal a bonyolultsággal, hogy a rendszerek jó részének konfigurációját kell kifejleszteniük, ami időt és energiát igényel a megoldásért fizetett végső költség csökkentésében. Tekintettel arra, hogy ezen túlmenően továbbra is figyelembe kell venniük a hosting és karbantartási költségeket, ha ezek a nyílt platformok továbbra is növelik a szivárgás kockázatát, a költség-haszon arány nagyon súlyosan érintett.   

 Az ügyvezető azt állítja, hogy észlelte a gyártók keresésének ezt a mozgását az IT-szolgáltatók, az úgynevezett MSP-k piacán, az olyan megoldások fogékonysága miatt, mint a Halopsa és az N-Able, mindkettő az Addee és a Global Brands közötti exkluzív partnerség révén került Brazíliába. Gazola szerint az a tény, hogy a termék kereskedelmi forgalomba hozatala teljes egészében helyi valutában történik, kiküszöböli a dollárnak való kitettséget, pénzügyi kiszámíthatóságot kínálva egy olyan piacon, amely nagymértékben támaszkodik a hosszú távú szerződésekre és az ismétlődő bevételekre.

“Amellett, hogy megszabadítják a vállalatokat a megoldások konfigurálásának feladatától, a hosting és karbantartási költségekkel kapcsolatos aggályoktól, az olyan partnerek, mint a Halopsa és az N-Able, gondoskodnak arról, hogy a vállalatok ne legyenek megszakítások a nyílt és nem védett technológiákkal való visszaélés miatt” – magyarázza.

Az Addee vezérigazgatója megerősíti, hogy a nyílt forráskódú programokból elkövetett kudarcok vagy csalások esetén a készenléti tervek hiánya eltántorította elfogadásukat, és ösztönözte a költségvetésbe illeszkedő, rugalmasabb alternatívák keresését.