Affrontare le problematiche di sicurezza con l’open source

Il software open source è un po’ alla volta diventato una insostituibile fonte di componenti per lo sviluppo delle nuove applicazioni e dei servizi online. Il motivo è semplice. Poter disporre di librerie collaudate e pronte all’uso dei supporti di base per i servizi più comuni d’interfaccia, gestione dati, comunicazione e così via semplifica moltissimo il lavoro degli sviluppatori, permettendo di dedicare più tempo a ciò che crea valore e innovazione. L’uso di componenti e librerie open source accomuna oggi sia il software commerciale sia quello custom al punto che, secondo le stime degli esperti, oltre il 50% del codice applicativo nei quattro principali ecosistemi (Java, Javascript, Python e .NET) è costituito da open source. Una scelta che avvantaggia la velocità di rilascio, la standardizzazione e  l’interoperabilità di ciò che viene sviluppato ma che, d’altra parte, comporta dei rischi sul piano della sicurezza.

Le applicazioni e i servizi realizzati con l’aiuto dell’open source ereditano le vulnerabilità presenti nelle librerie utilizzate. Librerie che essendo diffuse e molto comuni nelle applicazioni diventano un bersaglio remunerativo per la creazione di exploit specifici da parte del cybercrime. Lo scorso dicembre, si è scoperta una grave vulnerabilità nella libreria log4j di Apache (una utility di logging) che permetteva attacchi di software injection ha messo in crisi molti servizi online, con malware per sottrarre dati o prendere il controllo del sistema. Un incidente analogo a quello capitato alcuni anni fa con Hearthbleed, un bug nelle librerie di supporto a OpenSSL (il più diffuso protocollo di rete per la creazione di canali di comunicazione Web sicuri) che permetteva agli attaccanti di violare le informazioni cifrate. Tutti problemi risolti con gli aggiornamenti delle librerie ma, secondo i dati dello State of Software Security Open Source Edition 2021 di Veracode, ben il 79% delle applicazioni in uso si basa su librerie open source non aggiornate.

Le vulnerabilità non risolte restano una seria minaccia per la sicurezza, che diventa manifesta nel momento in cui l’azienda apre la propria rete allo smartworking, all’uso di applicazioni in cloud o all’integrazione digitale con la supply chain. BinHexS ha messo nel proprio portafoglio i servizi per la modernizzazione dei data center, che comprendono la gestione di tutte le fasi dei progetti: dal design alla security su infrastrutture cloud e ibride. BinHexS è inoltre in grado di offrire servizi gestiti, con service desk operanti 24×7.