يعد الاكتشاف الأخير للباب الخلفي في أداة ضغط البيانات XZ Utils - الموجودة في جميع توزيعات Linux الرئيسية تقريبًا - بمثابة تذكير صارخ بأن المؤسسات التي تستهلك مكونات مفتوحة المصدر تتحمل في النهاية مسؤولية تأمين البرنامج.
XZ Utils، مثل الآلاف من المشاريع الأخرى مفتوحة المصدر، يديرها متطوعون، وفي حالتها، لديها مشرف واحد يديرها. غالبًا ما يكون لدى مثل هذه المشاريع موارد قليلة أو معدومة للتعامل مع المشكلات الأمنية، مما يعني أن المؤسسات تستخدم البرنامج على مسؤوليتها الخاصة. وهذا يعني أن فرق الأمن والتطوير يجب أن تنفذ إجراءات لإدارة مخاطر المصادر المفتوحة بنفس الطريقة التي تتبعها مع التعليمات البرمجية المطورة داخليًا، كما يقول خبراء الأمن.
يقول جيمي سكوت، مدير المنتج المؤسس في Endor Labs: "على الرغم من أنه من غير المرجح أن تتمكن المؤسسة من منع التعرض [جميع] لمخاطر سلسلة التوريد بشكل فعال، إلا أنه يمكن للمؤسسات التركيز تمامًا على استراتيجية لتقليل احتمالية نجاح هجوم سلسلة التوريد".
المصدر المفتوح ليس مثل الاستعانة بمصادر خارجية: "مشرفو البرمجيات مفتوحة المصدر هم متطوعين. على مستوى الصناعة، نحن بحاجة إلى التعامل معهم على هذا النحو. نحن نملك برامجنا؛ نحن مسؤولون عن البرامج التي نعيد استخدامها.
حسن النية، قليل الموارد
المخاوف بشأن أمن البرمجيات مفتوحة المصدر ليست جديدة بأي حال من الأحوال. ولكن غالبًا ما يتطلب الأمر اكتشافات مثل ضعف Log4Shell و الباب الخلفي في XZ Utils للتوضيح حقًا مدى ضعف المؤسسات تجاه المكونات الموجودة في التعليمات البرمجية الخاصة بها. وفي كثير من الأحيان، يأتي الكود من مشاريع مفتوحة المصدر حسنة النية ولكنها تعاني من نقص الموارد بشكل يائس والتي لا تتم صيانتها إلا بالحد الأدنى.
XZ Utils، على سبيل المثال، هو في الأساس مشروع لشخص واحد. تمكن شخص آخر من ذلك التسلل من الباب الخلفي إلى الأداة المساعدة على مدى فترة ثلاث سنوات تقريبًا، من خلال اكتساب الثقة الكافية تدريجيًا من المشرف على المشروع. لو لم يصادفه أحد مطوري Microsoft في أواخر شهر مارس عند التحقيق في السلوك الغريب المرتبط بتثبيت دبيان، فربما انتهى الأمر بالباب الخلفي على ملايين الأجهزة على مستوى العالم - بما في ذلك الأجهزة التابعة للشركات الكبيرة والوكالات الحكومية. كما اتضح فيما بعد، كان للباب الخلفي تأثير ضئيل لأنه أثر على إصدارات XZ Utils التي كانت موجودة فقط في الإصدارات غير المستقرة والتجريبية من Debian وFedora وKali وopen SUSE وArch Linux.
قد يكون الحل الوسط التالي للكود مفتوح المصدر أسوأ بكثير. يقول دونالد فيشر، المؤسس المشارك والرئيس التنفيذي لشركة Tidelift: "الجزء الأكثر رعبًا بالنسبة للمؤسسات هو أن تطبيقاتها مبنية على أعلى مشاريع البرمجيات مفتوحة المصدر تمامًا مثل XZ Utils". يقول: "إن XZ Utils عبارة عن حزمة واحدة من عشرات الآلاف التي يتم استخدامها يوميًا من قبل مؤسسات المؤسسات النموذجية".
ويشير إلى أن معظم هذه المنظمات تفتقر إلى الرؤية الكافية لأمن ومرونة هذا الجزء من سلسلة توريد البرمجيات الخاصة بها حتى تتمكن من تقييم المخاطر.
A الأخيرة مدرسة هارفارد للأعمال قدرت الدراسة قيمة جانب الطلب للبرمجيات مفتوحة المصدر بمبلغ مذهل يبلغ 8.8 تريليون دولار. ويقول فيشر إن القائمين على الصيانة هم جوهر هذا النظام البيئي، والعديد منهم يطيرون بمفردهم. وجدت دراسة استقصائية أجرتها Tidelift العام الماضي أن 44% من القائمين على المشاريع مفتوحة المصدر يصفون أنفسهم بأنهم المشرفون الوحيدون على مشاريعهم. وعرّف XNUMX% أنفسهم بأنهم هواة بدون أجر، وقالت النسبة نفسها إنهم إما استقالوا أو فكروا في ترك أدوارهم كمشرفين على المشروع. يقول فيشر إن العديد من المشرفين وصفوا جهودهم بأنها عمل مرهق ووحيد وغير مجزٍ ماليًا.
يقول فيشر: "يسلط اختراق XZ utils الضوء بشكل صارخ على مخاطر قلة الاستثمار في سلامة ومرونة سلسلة توريد البرمجيات مفتوحة المصدر التي تعتمد عليها المؤسسات". "تحتاج مؤسسات المؤسسات إلى إدراك أن غالبية الحزم مفتوحة المصدر الأكثر اعتماداً عليها تتم صيانتها بواسطة متطوعين يصفون أنفسهم بأنهم هواة غير مدفوعي الأجر. هؤلاء المشرفون ليسوا موردين للمؤسسات ولكن من المتوقع أن يعملوا ويقدموا مثلهم.
الخطر: التبعيات المتعدية
A الدراسة التي أجراها إندور في عام 2022، وجد أن 95% من الثغرات الأمنية مفتوحة المصدر موجودة في ما يسمى بالتبعيات المتعدية، أو الحزم الثانوية مفتوحة المصدر أو المكتبات التي قد تعتمد عليها الحزمة الأساسية مفتوحة المصدر. غالبًا ما تكون هذه الحزم لا يختارها المطورون بأنفسهم بشكل مباشر ولكن يتم توظيفها تلقائيًا بواسطة حزمة مفتوحة المصدر في مشروع التطوير الخاص بهم.
يقول سكوت: "على سبيل المثال، عندما تثق في حزمة Maven واحدة، هناك في المتوسط 14 تبعية إضافية تثق بها ضمنيًا نتيجة لذلك". "هذا الرقم أكبر في بعض الأنظمة البيئية البرمجية مثل NPM حيث تقوم في المتوسط باستيراد 77 مكونًا برمجيًا آخر لكل مكون تثق به."
ويقول إن إحدى الطرق للبدء في التخفيف من مخاطر المصادر المفتوحة هي الانتباه إلى هذه التبعيات والانتقائية بشأن المشاريع التي تختارها.
ويضيف أنه يجب على المنظمات فحص التبعيات، وخاصة الحزم الصغيرة التي يتم تنفيذها لمرة واحدة، والتي يديرها فريق مكون من شخص واحد أو شخصين. ديميتري ستيلياديس، المدير التنفيذي للتكنولوجيا والمؤسس المشارك لشركة Endor. يجب عليهم تحديد ما إذا كانت التبعيات في بيئتهم تحتوي على ضوابط أمان مناسبة أو ما إذا كان فرد واحد يلتزم بجميع التعليمات البرمجية؛ ما إذا كان لديهم ملفات ثنائية في مستودعاتهم لا يعرفها أحد؛ أو حتى إذا كان هناك شخص ما يقوم بصيانة المشروع بشكل فعال، كما يقول ستيلياديس.
"ركز جهودك على تحسين فعالية استجابتك - تظل الضوابط الأساسية مثل الحفاظ على مخزون البرامج الناضج أحد البرامج الأعلى قيمة التي يمكنك وضعها لتحديد مخاطر البرامج ونطاقها والاستجابة لها بسرعة بمجرد تحديدها،" سكوت ينصح.
يمكن أيضًا لأدوات تحليل تكوين البرامج، وأجهزة فحص الثغرات الأمنية، وأنظمة EDR/XDR، وSBOMs أن تساعد المؤسسات في التعرف بسرعة على المكونات مفتوحة المصدر المعرضة للخطر والمخترقة.
الاعتراف بالتهديد
يقول فيشر من Tidelift: "يبدأ تخفيف التعرض بالفهم المشترك والاعتراف في مجموعة C-suite وحتى على مستوى مجلس الإدارة بأن ما يقرب من 70٪ من مكونات منتج البرنامج العادي هي برامج مفتوحة المصدر تم إنشاؤها تاريخيًا من قبل مساهمين لا يحصلون على تعويض في الغالب".
ستشكل اللوائح والمبادئ التوجيهية الجديدة في صناعة الخدمات المالية وإدارة الغذاء والدواء الأمريكية والمعهد الوطني للمعايير والتكنولوجيا (NIST) كيفية تطوير البرامج في السنوات المقبلة ويتعين على المؤسسات الاستعداد لها الآن. ويقول: "سوف يتكيف الفائزون هنا بسرعة من استراتيجية رد الفعل إلى استراتيجية استباقية لإدارة المخاطر المرتبطة بالمصادر المفتوحة".
ويوصي فيشر المؤسسات بالاستعانة بفرق الأمن والهندسة الخاصة بها لتحديد كيفية وصول المكونات الجديدة مفتوحة المصدر إلى بيئتها. ويجب عليهم أيضًا تحديد أدوار مراقبة هذه المكونات وإزالة العناصر التي لا تتناسب مع رغبة الشركة في المخاطرة بشكل استباقي. "لقد أصبح الرد على مشاكل المرحلة المتأخرة وسيلة غير فعالة للتعامل مع حجم المخاطر التي تتعرض لها الشركة على مدى السنوات العديدة الماضية، كما أن الحكومة الأمريكية تشير يقول: "هذه الحقبة تقترب من نهايتها".
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/application-security/xz-utils-scare-exposes-hard-truths-in-software-security
- :لديها
- :يكون
- :ليس
- :أين
- $ UP
- 14
- 2022
- 7
- 77
- 8
- 95%
- a
- ماهرون
- حول المستشفى
- إطلاقا
- بنشاط
- تكيف
- إضافي
- تتأثر
- وكالات
- قدما
- الكل
- أيضا
- an
- تحليل
- و
- آخر
- شهية
- التطبيقات
- هي
- AS
- أسوشيتد
- At
- مهاجمة
- اهتمام
- تلقائيا
- المتوسط
- الباب الخلفي
- BE
- لان
- أصبح
- سلوك
- انتماء
- بيتا
- مجلس
- يجلب
- بنيت
- الأعمال
- لكن
- by
- C-جناح
- CAN
- حقيبة
- الرئيس التنفيذي
- معين
- سلسلة
- اختار
- المؤسس المشارك
- الكود
- تأتي
- يأتي
- آت
- يرتكب
- حول الشركة
- مكونات
- حل وسط
- تسوية
- أجرت
- نظرت
- تستهلك
- المساهمين
- ضوابط
- جوهر
- الشركات
- استطاع
- خلق
- CTO
- DANGER
- البيانات
- يوم
- صفقة
- حدد
- نقل
- تعتمد
- التبعيات
- وصف
- وصف
- حدد
- المتقدمة
- المطور
- المطورين
- التطوير التجاري
- فرق التطوير
- الأجهزة
- مباشرة
- اكتشاف
- التوزيعات
- do
- دون
- دونالد
- قيادة
- النظام الإيكولوجي
- النظم البيئية
- على نحو فعال
- فعالية
- جهود
- إما
- يعمل
- النهاية
- انتهى
- الهندسة
- كاف
- مشروع
- البيئة
- عصر
- خاصة
- أساسيا
- مقدر
- تقييم
- حتى
- كل
- كل يوم
- مثال
- متوقع
- خبرائنا
- تعرض
- بعيدا
- ادارة الاغذية والعقاقير
- ملفات
- مالي
- الخدمات المالية
- ماليا
- تناسب
- طيران
- تركز
- في حالة
- وجدت
- التأسيسية
- تأسيس
- تبدأ من
- كسب
- دولار فقط واحصل على خصم XNUMX% على جميع
- على الصعيد العالمي
- حكومة
- الوكالات الحكومية
- تدريجيا
- المبادئ التوجيهية
- الإختراق
- كان
- معالجة
- الثابت
- يملك
- he
- صحة الإنسان
- مساعدة
- هنا
- أعلى
- تاريخيا
- الهواة
- الصفحة الرئيسية
- كيفية
- HTTPS
- محدد
- تحديد
- if
- التأثير
- تنفيذ
- استيراد
- تحسين
- in
- بما فيه
- فرد
- العالمية
- التركيب
- مثل
- داخليا
- إلى
- المخزون
- التحقيق
- مسائل
- IT
- انها
- جيمي
- JPG
- م
- يعرف
- مختبرات
- نقص
- كبير
- أكبر
- اسم العائلة
- العام الماضي
- متأخر
- مستوى
- المكتبات
- مثل
- لينكس
- القليل
- حافظ
- الحفاظ على
- رائد
- أغلبية
- تمكن
- مدير
- إدارة
- كثير
- مارس
- ناضج
- مخضرم
- معنى
- يعني
- الإجراءات
- مایکروسافت
- ربما
- ملايين
- أدنى
- مخففا
- مراقبة
- أكثر
- خاصة
- يجب
- تقريبا
- حاجة
- جديد
- التالي
- نيست
- لا
- ملاحظة
- الآن
- عدد
- of
- غالبا
- on
- مرة
- ONE
- منها
- فقط
- جاكيت
- المصدر المفتوح
- or
- منظمة
- المنظمات
- أخرى
- لنا
- خارج
- الاستعانة بمصادر خارجية
- على مدى
- الخاصة
- صفقة
- حزم
- جزء
- فى المائة
- نسبة مئوية
- فترة
- المكان
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- إعداد
- يقدم
- منع
- ابتدائي
- استباقية
- مشاكل
- المنتج
- مدير المنتج
- البرامج
- تنفيذ المشاريع
- مشروع ناجح
- لائق
- بسرعة
- RE
- أدرك
- في الحقيقة
- الأخيرة
- توصي
- تخفيض
- قوانين
- الإغاثة
- اعتمد
- بقايا
- تذكير
- إزالة
- مرونة
- الموارد
- الرد
- استجابة
- مسؤولية
- مسؤول
- نتيجة
- المخاطرة
- الرغبة في المخاطرة
- المخاطر
- الأدوار
- تقريبا
- s
- قال
- نفسه
- قول
- يقول
- حجم
- نطاق
- سكوت
- ثانوي
- تأمين
- أمن
- حدد
- انتقائي
- خدماتنا
- عدة
- الشكل
- شاركت
- ينبغي
- عزباء
- الأصغر
- تطبيقات الكمبيوتر
- مكونات البرامج
- سلسلة توريد البرمجيات
- فقط
- شخص ما
- مصدر
- شفرة المصدر
- المسرح
- قاس
- بداية
- يبدأ
- الإستراتيجيات
- دراسة
- ناجح
- هذه
- كاف
- الموردين
- تزويد
- سلسلة التوريد
- الدراسة الاستقصائية
- أنظمة
- يأخذ
- فريق
- عشرات
- أن
- •
- من مشاركة
- منهم
- أنفسهم
- هناك.
- تشبه
- هم
- هؤلاء
- الآلاف
- التهديد
- إلى
- أدوات
- تيشرت
- علاج
- تريليون
- الثقة
- تحول
- نموذجي
- في النهاية
- فهم
- من غير المحتمل
- بناء على
- تستخدم
- سهل حياتك
- قيمنا
- الإصدارات
- التعليم والتدريب المهني
- رؤية
- المتطوعين
- نقاط الضعف
- الضعف
- الضعيفة
- طريق..
- we
- حسن
- كان
- ابحث عن
- متى
- سواء
- في حين
- من الذى
- سوف
- الفائزين
- مع
- للعمل
- أسوأ
- عام
- سنوات
- حتى الآن
- أنت
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت
