Риск компиляции открытого исходного кода

Опубликовано: 25 Сентября, 2022

Почему вы должны заботиться об открытом исходном коде?
Есть вероятность следующих рисков

  1. Лицензирование и риск соответствия
  2. Риск безопасности
  3. Бизнес и операционный риск
  4. Риск восстановления

Лицензирование и риск соответствия:

  • Нарушение лицензий
    Автоматическое прекращение действия из-за отсутствия существенности/периода устранения. Нарушение лицензий означает, что вы используете код от неавторизованной стороны, что может привести к внедрению различных нарушений безопасности в вашу систему, что может привести к утечке данных. Таким образом, в таком случае организации не требуется никакого специального соглашения для увольнения, она автоматически уволит сотрудника за нарушение безопасности за нарушение.
  • Нарушение авторских прав
    Нарушение авторских прав гласит, что ваш исходный код не скопирован из источника, который лицензировал свой код для использования где-либо еще. Каждая организация относится к этому очень серьезно, так как требование авторских прав от кого-либо может привести к многим неблагоприятным последствиям для организации, например, к большому количеству.
  • «Вирусное» заражение проприетарного кода –
    Это означает, что код, который мы внедряем, не содержит оператора, создающего лазейку для внедрения вируса. Внедрение вируса в исходный код — очень распространенный метод нарушения безопасности организации.
  • Автоматическое предоставление лицензий на некоторые из ваших патентов –
    Если ваш исходный код похож на какой-либо другой аналогичный код (не совсем такой же), вы автоматически предоставите определенные лицензии, связанные с подобным кодом. Если эти лицензиаты достаточно безопасны для использования вашей организацией, все готово.
  • Права на прекращение действия защитного патента –
    Это означает, что если ваш код не соответствует стандартам лицензирования кода, соответствующий орган имеет право прекратить действие вашего патента.
  • Использование за рамками лицензии –
    Это означает, что использование исходного кода, который не лицензирован, всегда может создать лазейку для создания бреши в системе безопасности.
  • Под лицензией; недостаточно мест/лицензий –
    Это означает использование лицензионного кодекса поведения, но не соблюдение всех указаний, которые требуются как часть кодекса поведения этой конкретной лицензии.
  • Комбинации компонентов по несовместимым лицензиям –
    Когда мы используем более одного лицензиата в нашем проекте, нам необходимо убедиться, что кодекс поведения для обоих лицензиатов совместим друг с другом. Если они несовместимы, всегда существует угроза безопасности.
  • Несоблюдение лицензий на компоненты «четвертой стороны» —
    Четвертая сторона — это организация, связанная с вашей организацией для оказания вам поддержки в работе. Если совместимость лицензиата обеих организаций не совпадает, существует вероятность нарушения безопасности для кого-либо или для обеих организаций.

Риск безопасности:

  • Избегайте неосознанного использования стороннего программного обеспечения с известными уязвимостями безопасности.
    Избегайте использования любого стороннего программного обеспечения, которое содержит какие-либо известные уязвимости. Всегда проверяйте лицензию и правила поведения стороннего программного обеспечения.
  • Традиционный статический и динамический анализ безопасности находит несколько уязвимостей OSS —
    Уязвимости OSS означают программное обеспечение с открытым исходным кодом. Статическая уязвимость означает уже связанный риск, а динамическая безопасность означает, что программное обеспечение не содержит никакого риска безопасности, но при работе с этим программным обеспечением у нас был риск работы.
  • Без поддержки; себе служить; вытягивающая и выталкивающая модель –
    Убедитесь, что используемая вами OSS предоставляет средства поддержки, чтобы вы могли отправить запрос в службу поддержки, если вы обнаружите какую-либо уязвимость, связанную с безопасностью, в этой конкретной OSS.
  • Профиль риска меняется со временем –
    Будьте в курсе изменений в политиках различных лицензионных кодов, это необходимо для того, чтобы ваш исходный код всегда был в безопасности.
  • Любые уязвимости, связанные с компонентами —
    Убедитесь, что все компоненты OSS не подвержены уязвимостям с открытым исходным кодом.
  • Доступны любые патчи -
    Всегда проверяйте наличие обновлений программного обеспечения, если таковые имеются, чтобы убедиться, что уязвимости OSS не повлияют на ваш код.

Бизнес и операционный риск:
Операционный риск сосредоточен на том, как что-то уточняется внутри ассоциации, а не на том, что создается или является неотъемлемой частью отрасли. Эти риски часто связаны с динамическим выбором, определяющим возможности ассоциации и то, на чем она сосредоточена. Хотя риски не гарантируют разочарования, снижения производительности или увеличения общих расходов, они рассматриваются как более высокие или более низкие в зависимости от различных вариантов внутреннего управления.

Бизнес-риск — это открытость, необходимая организации или ассоциации для факторов, которые снизят ее прибыль или приведут к ее краху. Все, что подрывает способность организации достигать своих финансовых целей, рассматривается как деловой риск. Есть множество переменных, которые могут объединиться, чтобы сделать бизнес-риск. То здесь, то там высшее руководство организации или правление создают обстоятельства, при которых бизнес может быть подвергнут положительному риску.

При применении деловых и операционных рисков всегда учитываются следующие факторы:

  • Зависимость от кода от
  • Конкурент/враждебная сторона
  • Осиротевший/мертвый проект
  • Заранее подумайте об интеграции и управлении бизнесом, иначе все может стать очень сложно
  • Изменение модели предложения
  • Стандартизация определенных компонентов
  • Может быть дорого или невозможно собрать ключевую информацию позже

Риск восстановления:
Управление рисками восстановления (RRM) — это цикл наблюдения за дикими действиями или условиями, которые могут привести к неблагоприятным результатам для выполнения структуры восстановления. Целевая группа оценивает риск восстановления и создает планы работы по уменьшению риска.

При применении управления рисками восстановления всегда учитываются следующие факторы:

1. Исправление кода —

  • Удаление, переписывание или замена кода
  • Затраты: Инжиниринг, время

2. Правовая реабилитация –

  • Изменение/расторжение соглашений, получение разъяснений, освобождение от прошлой ответственности, повторное лицензирование компонентов и получение новых лицензий
  • Часто трудно исправить прошлое несоблюдение
  • Расходы: юридические, время, сборы лицензиаров

3. Снижение/распределение рисков –

  • Дополнительные заверения и гарантии
  • Условия закрытия, ориентированные на исправление, и ковенанты наилучших усилий
  • Конкретные возмещения
  • Дополнительные условное депонирование
Программная инженерия

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Печатные платы: описание и разновидности
14 Июня, 2023
Социотехническая устойчивость в программной инженерии
15 Февраля, 2023
Система онлайн-бронирования железнодорожных билетов
12 Января, 2023
Как создать конвейер CI-CD в Jenkins?
11 Января, 2023
Infosys SDE Sheet: Вопросы и ответы для интервью
12 Декабря, 2022
Понимание управления данными
25 Сентября, 2022
Обзор DFSS
25 Сентября, 2022
Понимание DMADV
25 Сентября, 2022