IT ბაზარზე უფასო ან ღია კოდის გადაწყვეტილებების გამოყენება, როგორც წესი, დაკავშირებულია ისეთ სარგებელთან, როგორიცაა ხარჯების შემცირება და მოქნილობა, თუმცა, არაერთმა შემთხვევამ შეშფოთება გამოიწვია, განსაკუთრებით უსაფრთხოების კუთხით, ამ სისტემების დანერგვის გადაწყვეტილების მიღებისას. ამ მხრივ ერთ-ერთი უახლესი მოვლენა იყო მაისის დასაწყისში „easyjson“-ის, ღია კოდის პროგრამული უზრუნველყოფის ბიბლიოთეკის, რუსული ჯგუფის VK დეველოპერების მონაწილეობის დადასტურება, რომლის მუშაობა და პოპულარობაც ამ ქვეყანაში Facebook-ს შედარებადია. ვინაიდან ბიბლიოთეკა ფართოდ გამოიყენება ისეთ კრიტიკულ პროექტებში, როგორიცაა Kubernetes, Istio და Grafana, არსებობს შეშფოთება, რომ ის შეიძლება გეოპოლიტიკური მიზნებისთვის იყოს კომპრომეტირებული ჯაშუშობის ან კიბერშეტევების გზით, განსაკუთრებით ისეთ მგრძნობიარე სექტორებში, როგორიცაა თავდაცვა და ფინანსები.
როდრიგო გაზოლასთვის, ADDEE-ს აღმასრულებელი დირექტორისა და დამფუძნებლისთვის, კომპანიისთვის, რომელიც 30 წელია IT მენეჯმენტის გადაწყვეტილებების ბაზარზე ოპერირებს, „easyjson“-ის შემთხვევა კიდევ ერთი მაგალითია, რომელიც აძლიერებს კომპანიების შეშფოთებას ღია კოდის გადაწყვეტილებებთან დაკავშირებით. „ის ფაქტი, რომ ეს ტექნოლოგიური სტრუქტურები საჯაროა, რაც ნებისმიერს (მათ შორის თავდამსხმელებს) საშუალებას აძლევს შეისწავლოს ისინი და მოძებნოს დაუცველობები, მნიშვნელოვანი რისკ-ფაქტორია, განსაკუთრებით იმის გამო, რომ ღია კოდის გადაწყვეტილებების უმეტესობა არ გვთავაზობს უფასო ოფიციალურ მხარდაჭერას, რამაც შეიძლება კომპანიები სრულიად უმწეო დატოვოს კრიტიკულ სიტუაციებში, მხოლოდ ფორუმებსა და საზოგადოებაზე დამოკიდებულნი“, - აცხადებს ის.
გაზოლა ღია კოდის პროგრამებთან დაკავშირებულ სხვა ბოლოდროინდელ შემთხვევებსაც მოიხსენიებს. გასული წლის დეკემბერში, Ultralytics YOLO პროექტი, ღია კოდის ხელოვნური ინტელექტის ბიბლიოთეკა, GitHub Actions ავტომატიზაციის სკრიპტებში არსებული დაუცველობის გამო დაზიანდა. თავდამსხმელებმა ეს ხარვეზი პროგრამული უზრუნველყოფის განაწილებულ ვერსიებში მავნე კოდის შესაყვანად გამოიყენეს. მანამდე, 2024 წლის ოქტომბერში, კიბერკრიმინალებმა NPM საცავში ასობით მავნე პაკეტი გამოაქვეყნეს, ლეგიტიმური ბიბლიოთეკების მსგავსი სახელების გამოყენებით (ტექნიკა, რომელიც ცნობილია როგორც typosquatting). მიზანი იყო დეველოპერების მოტყუება, რათა დაეინსტალირებინათ ეს კომპრომეტირებული პაკეტები, რაც მავნე კოდს მათ სისტემებზე გაშვების საშუალებას მისცემდა.
მისი თქმით, ამ შემაშფოთებელმა სცენარმა გამოიწვია ბრაზილიური კომპანიების მხრიდან მოთხოვნის ზრდა იმ გადაწყვეტილებებზე, რომლებსაც აღიარებენ უსაფრთხო და ეკონომიური მწარმოებლები. ყოველივე ამის შემდეგ, უფასო ან ღია კოდის ინსტრუმენტების არჩევისას, ორგანიზაციები იძულებულნი არიან გაუმკლავდნენ სისტემების დიდი ნაწილის კონფიგურაციის თავად შემუშავების სირთულეს, რაც დროსა და ენერგიას ხარჯავს გადაწყვეტილების საბოლოო ღირებულების შემცირების სავარაუდო სარგებლის სანაცვლოდ. იმის გათვალისწინებით, რომ გარდა ამისა, მათ კვლავ უწევთ ჰოსტინგისა და მოვლა-პატრონობის ხარჯების გათვალისწინება, თუ ეს ღია პლატფორმები გაჟონვის რისკსაც დაამატებენ, ხარჯებისა და სარგებლის თანაფარდობა მნიშვნელოვნად ზიანდება.
აღმასრულებელი დირექტორი აცხადებს, რომ IT სერვისის მიმწოდებელთა ბაზარზე, რომლებიც ცნობილია როგორც MSP-ები, მწარმოებლების ძიების ეს მოძრაობა შენიშნა HaloPSA-სა და N-Able-ის მსგავსი გადაწყვეტილებების მიმღებლობის გამო, რომლებიც ბრაზილიაში ADDEE-სა და გლობალურ ბრენდებს შორის ექსკლუზიური პარტნიორობის გზით იქნა შემოტანილი. გაზოლას თქმით, ის ფაქტი, რომ პროდუქტი მთლიანად ადგილობრივ ვალუტაში იყიდება, გამორიცხავს დოლართან კონტაქტს, რაც ფინანსურ პროგნოზირებადობას უზრუნველყოფს ბაზარზე, რომელიც მნიშვნელოვნად არის დამოკიდებული გრძელვადიან კონტრაქტებსა და მუდმივ შემოსავალზე.
„გარდა იმისა, რომ კომპანიებს ათავისუფლებენ გადაწყვეტილებების კონფიგურაციის ამოცანისგან და ჰოსტინგისა და მოვლა-პატრონობის ხარჯებთან დაკავშირებული შეშფოთებისგან, ისეთი პარტნიორები, როგორიცაა HaloPSA და N-Able, უზრუნველყოფენ, რომ კომპანიები არ განიცდიან ღია და დაუცველი ტექნოლოგიების ნებისმიერი სახის ბოროტად გამოყენებით გამოწვეულ შეფერხებებს“, - განმარტავს ის.
ADDEE-ს აღმასრულებელი დირექტორი ხაზს უსვამს, რომ ღია კოდის პროგრამული უზრუნველყოფის გამოყენებით ჩადენილი წარუმატებლობის ან თაღლითობის შემთხვევაში საგანგებო გეგმების არარსებობამ ხელი შეუშალა მის დანერგვას და წაახალისა უფრო მდგრადი ალტერნატივების ძიება, რომლებიც ბიუჯეტის ფარგლებში მოერგება.
