كيفية التأكد من أن الحزم مفتوحة المصدر ليست منجمًا

تعد المستودعات مفتوحة المصدر أمرًا بالغ الأهمية لتشغيل التطبيقات الحديثة وكتابتها، ولكن احذر - قد يؤدي الإهمال إلى تفجير الألغام وحقن أبواب خلفية ونقاط ضعف في البنية التحتية للبرمجيات. تحتاج أقسام تكنولوجيا المعلومات ومشرفو المشاريع إلى تقييم القدرات الأمنية للمشروع لضمان عدم دمج التعليمات البرمجية الضارة في التطبيق.

يوصي إطار عمل أمني جديد من وكالة الأمن السيبراني وأمن البنية التحتية (CISA) ومؤسسة الأمن مفتوح المصدر (OpenSSF) بضوابط مثل تمكين المصادقة متعددة العوامل لمشرفي المشروع، وقدرات إعداد التقارير الأمنية من طرف ثالث، والتحذيرات للحزم القديمة أو غير الآمنة المساعدة في تقليل التعرض للتعليمات البرمجية الضارة والحزم التي تتنكر في شكل تعليمات برمجية مفتوحة المصدر في المستودعات العامة.

يقول أومكار أراساراتنام، المدير العام لـ OpenSSF: "يجتمع مجتمع المصادر المفتوحة حول نقاط المياه هذه من أجل جلب هذه الحزم، ويجب أن تكون آمنة - من منظور البنية التحتية".

أين يمكن العثور على كود سيء

تتضمن فتحات الري هذه موقع Github، الذي يستضيف برامج كاملة أو أدوات برمجة أو واجهات برمجة التطبيقات التي تربط البرامج بالخدمات عبر الإنترنت. تشمل المستودعات الأخرى PyPI، الذي يستضيف حزم Python؛ NPM، وهو مستودع جافا سكريبت؛ وMaven Central، وهو مستودع جافا. تقوم التعليمات البرمجية المكتوبة بلغة Python وRust ولغات البرمجة الأخرى بتنزيل المكتبات من مستودعات حزم متعددة.

يمكن أن يتم خداع المطورين عن غير قصد لسحب البرامج الضارة التي يمكن حقنها في مديري الحزم، مما قد يمنح المتسللين إمكانية الوصول إلى الأنظمة. يمكن أن تشتمل البرامج المكتوبة بلغات مثل Python وRust على برامج ضارة إذا قام المطورون بالارتباط بعنوان URL خاطئ.

تعتمد الإرشادات الواردة في "مبادئ أمان مستودع الحزم" على الجهود الأمنية التي اعتمدتها المستودعات بالفعل. مؤسسة برمجيات بايثون العام الماضي اعتمد Sigstore، والذي يضمن سلامة ومصدر الحزم الموجودة داخل PyPI والمستودعات الأخرى.

يقول أراساراتنام إن الأمن عبر المستودعات ليس سيئًا للغاية، لكنه غير متسق.

يقول أراساراتنام: "الجزء الأول هو جمع بعض الأشخاص الأكثر شهرة ... والأشخاص المهمين داخل المجتمع والبدء في إنشاء مجموعة من الضوابط التي يمكن استخدامها عالميًا عبرهم".

يمكن أن تمنع الإرشادات المنصوص عليها في مبادئ CISA الخاصة بأمن مستودع الحزم وقوع حوادث مثل سطو الأسماء، حيث يمكن للمطورين تنزيل الحزم الضارة عن طريق الخطأ في كتابة اسم الملف أو عنوان URL الخاطئ.

يقول أراساراتنام: "قد تقوم بتشغيل إصدار ضار من الحزمة عن طريق الخطأ، أو قد يكون هناك سيناريو حيث قام شخص ما بتحميل تعليمات برمجية ضارة تحت هوية المشرف ولكن فقط بسبب اختراق الجهاز".

من الصعب التعرف على الحزم الضارة

سيطر أمن الحزم على المستودعات على جلسة نقاش حول أمن المصادر المفتوحة في منتدى المصدر المفتوح في التمويل الذي عقد في نوفمبر من العام الماضي في نيويورك.

"إن الأمر يشبه الأيام الخوالي للمتصفحات عندما كانت ضعيفة بطبيعتها. قال بريان فوكس، المؤسس المشارك والرئيس التنفيذي للتكنولوجيا في شركة Sonatype، خلال حلقة النقاش: "يذهب الناس إلى موقع ويب ضار، ويفتح لهم باب خلفي، ثم يقولون: مهلاً، هذا ليس الموقع".

وقال فوكس: "إننا نتتبع ما يزيد عن 250,000 ألف مكون كان ضارًا عن عمد".

وقالت آن بارون ديكاميلو، العضو المنتدب والرئيس العالمي للعمليات السيبرانية في سيتي، في مؤتمر OSFF قبل بضعة أشهر، إن أقسام تكنولوجيا المعلومات بدأت تتعامل مع التعليمات البرمجية الضارة والحزم التي تتنكر في هيئة تعليمات برمجية مفتوحة المصدر.

"بالحديث عن الحزم الضارة خلال العام الماضي، فقد شهدنا زيادة مضاعفة مقارنة بالسنوات السابقة. وقال بارون ديكاميلو: "لقد أصبح هذا حقيقة مرتبطة بمجتمعنا التنموي".

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/application-security/untitled