E’ conclamato che gran parte delle applicazioni sviluppate negli ultimi anni includono un alto numero di componenti open source.
Come previsto dalla computer science dagli anni ’60 del secolo scorso il riuso di componenti software è divenuto preminente (*), anche grazie alla diffusione del movimento open source.
Non possiamo però sottovalutare che l’uso massivo di componenti open source comporta dei rischi di varia natura:
- Legali: ogni componente è accompagnato da una sua Licenza
- Cyber: i componenti possono contenere vulnerabilità di sicurezza che vengono propagate alle applicazioni che li usano
- Obsolescenza: i componenti open source devono potere essere aggiornati
Per tenere sotto controllo tutti questi aspetti, sono nati servizi e prodotti di Software Composition Analysis (SCA) per determinare e mitigare le dimensioni di rischio sopra elencate.
Dopo una veloce disamina di queste tematiche, andremo ad approfondire degli esempi concreti su un parco applicativo esteso, grazie a CAST Highlight, il servizio di CAST per l’analisi SCA e la mitigazione dei rischi open source.
Vedremo come possono essere individuate le vulnerabilità note, anche grazie alla partnership con Software Heritage e come si possa individuare un percorso di risoluzione.
Analizzeremo le caratteristiche delle principali licenze open, per poi individuare rischi specifici che devono essere considerati a seconda del profilo d’uso.
Capiremo quindi come tutto questo possa essere fatto senza impattare direttamente gli sviluppatori, senza risultare invasivi con i fornitori, riducendo in ogni caso i margini di rischio e rimanendo comunque in pieno controllo del parco applicativo.
(*) Vedi Gartner => 70% applicazioni
