Risiko knyttet til Russlands Facebook øker bekymringen for gratis eller åpne løsninger

Bruken av gratis eller åpen kildekode-løsninger (open source) i IT-markedet er vanligvis alltid relatert til fordeler som kostnadsreduksjon og fleksibilitet, men en rekke saker har hevet nivået av bekymringer, spesielt angående sikkerhet, i beslutningen om å ta i bruk disse systemene En av de siste hendelsene i denne forbindelse var bekreftelsen, skjedde i begynnelsen av mai, av involvering av “on, et åpen kildekode-programvarebibliotek, med utviklerne av den russiske VK-gruppen, hvis ytelse og hovedperson er sammenlignet med Facebook i det landet. Siden biblioteket er mye brukt i kritiske prosjekter som Kubernetes, Istio og Grafana, er frykten for geopolitisk finans kompromittert av nettangrep, er nettangrepene at det er begått av nettangrep.

For Rodrigo Gazola, administrerende direktør og grunnlegger av ADDEE, et selskap som har operert i 30 år i IT-administrasjonsløsningsmarkedet, er tilfellet med “easyjson’ bare et som forsterker bekymringen til selskaper med åpen kildekode-løsninger. “Det faktum at disse teknologiske strukturene er offentlige, slik at alle (inkludert angripere) kan studere dem og se etter smutthull er en stor risikofaktor fordi de fleste åpen kildekode-løsninger ikke tilbyr gratis offisiell støtte, noe som kan gjøre at selskaper blir helt uten hjelp i kritiske situasjoner, kun avhengig av fora og det store samfunnet, sier han.

Gazola siterer andre nylige saker relatert til åpen kildekode-programmer. I desember i fjor ble Ultralytics YOLO-prosjektet, et åpen kildekode-bibliotek for kunstig intelligens, kompromittert gjennom en sårbarhet i GitHub Actions automatiseringsskript. Angripere utnyttet denne feilen til å injisere ondsinnet kode i distribuerte versjoner av programvaren. Før, i oktober 2024, publiserte nettkriminelle hundrevis av ondsinnede pakker i NPM-depotet, ved å bruke navn som ligner på legitime biblioteker (teknikk kjent som skrivefeil).

Ifølge ham har dette bekymringsscenarioet forårsaket en økning i etterspørselen fra brasilianske selskaper etter løsninger som tilbys av produsenter som er kjent for å være trygge og økonomiske. Når alt kommer til alt, når de tar valget for gratis eller åpen kildekode-verktøy, blir organisasjoner tvunget til å håndtere kompleksiteten ved at de selv må utvikle konfigurasjonen av de fleste systemene, som bruker tid og energi i bytte mot en antatt fordel ved å redusere den endelige kostnaden betalt for løsningen. Mens de i tillegg fortsatt må vurdere verts- og vedlikeholdskostnader, hvis disse åpne plattformene fortsatt øker risikoen for lekkasjer, er kostnadsnytteforholdet virkelig sterkt svekket.   

 Lederen hevder å ha oppdaget denne bevegelsen av søk etter produsenter i markedet for IT-tjenesteleverandører, kalt MSPer, ved mottakelighet for løsninger som HaloPSA og N-Able, begge brakt til Brasil gjennom eksklusive partnerskap mellom ADDEE og globale merkevarer. Ifølge Gazola eliminerer det faktum at produktet markedsføres utelukkende i lokal valuta eksponering mot dollaren, og tilbyr økonomisk forutsigbarhet i et marked som er sterkt avhengig av langsiktige kontrakter og tilbakevendende inntekter.

“I tillegg til å frigjøre bedrifter fra oppgaven med å konfigurere løsninger, fra bekymringer om hosting - og vedlikeholdskostnader, sikrer partnere som HaloPSA og N-Able at bedrifter ikke har avbrudd forårsaket av noen form for misbruk av åpne teknologier og uten” beskyttelse, forklarer han.

Administrerende direktør i ADDEE forsterker at mangelen på beredskapsplaner i tilfelle feil eller svindel praktisert fra åpen kildekode-programmer har frarådet deres adopsjon og oppmuntret søket etter mer robuste alternativer som passer til budsjettene.