إهمال مطوري البرامج مفتوحة المصدر يضع الإنترنت في خطر PlatoBlockchain Data Intelligence. البحث العمودي. عاي.

إهمال مطوري البرامج مفتوحة المصدر يعرض الإنترنت للخطر

الطابع الزمني: 23 سبتمبر 2022 10:00 صباحًا

البرمجيات هي جوهر جميع الأعمال التجارية الحديثة وهي ضرورية في كل جانب من جوانب العمليات. ستستخدم كل شركة تقريبًا برامج مفتوحة المصدر ، عن علم أو غير ذلك ، نظرًا لأن البرامج الاحتكارية تعتمد على مكتبات مفتوحة المصدر. OpenUK's وجد تقرير "State of Open" لعام 2022 أن 89٪ من الشركات كانت تعتمد على برمجيات مفتوحة المصدر ، لكن ليس كل منهم واضحًا بشأن تفاصيل البرنامج الذي يعتمدون عليه.

تطالب الشركات بشكل متزايد بمزيد من المعلومات حول برامج التشغيل الحرجة. تهتم الشركات المسؤولة بشكل تفصيلي بسلسلة توريد البرامج الخاصة بها وتقوم بإنشاء قائمة مواد برمجية (SBOM) لكل تطبيق. يعد هذا المستوى من المعلومات أمرًا بالغ الأهمية بحيث عندما يتم تحديد عيوب أمنية في برامجهم ، يمكنهم على الفور التأكد من البرامج والإصدارات قيد الاستخدام والأنظمة المتأثرة. المعرفة قوة في هذه المواقف!

الاعتماد على المتطوعين

في أواخر عام 2021 ، تم استدعاء ثغرة أمنية Log4Shell تم التعرف عليه في إطار عمل تسجيل Java مستخدم على نطاق واسع ، Log4j. نظرًا لأن هذه مكتبة مفتوحة المصدر مستخدمة على نطاق واسع ، فقد تم الإعلان عن الثغرة الأمنية بشكل جيد ، وكان من المتوقع حدوث إصلاحات. ومع ذلك ، فإن المشرفين على المشروع من المتطوعين. كان لديهم وظائف يومية ولم يكونوا تحت الطلب لإصلاحات أمنية عاجلة ، حتى لو تأثر عدد كبير من الأنظمة. تم تقدير أن هذه الثغرة الأمنية وحدها قد أثرت على 93٪ من بيئات السحابة الخاصة بالمؤسسات.

في ذلك الوقت ، كانت هناك بعض الصحف السلبية حول المصدر المفتوح ، ولكن الحقيقة هي أنه إذا كان هذا مكونًا مغلق المصدر ، فربما لم تكن الثغرة معروفة علنًا ، مما يترك المنظمات عرضة للهجوم. تعني طبيعة المصدر المفتوح للمكتبة أنه يمكن فحصها وإيجاد المشكلات والمشورة التي يقدمها الآخرون. لذا ، نعم ، لم يكن القائمون على الصيانة على أهبة الاستعداد بسبب المشكلات الأمنية في مشروعهم التطوعي. السؤال الكبير ، إذن ، هو: كيف وصلنا إلى موقف كانت فيه الشركات الكبرى تعتمد على البرامج التي كانت من مسؤولية شخص يفعل شيئًا آخر لدفع فواتيرهم؟

يعد إهمال تبعيات البرامج عملاً محفوفًا بالمخاطر بغض النظر عن ترخيص البرنامج ، ولكن عندما يكون مفتوح المصدر ويستخدم على نطاق واسع جدًا ، فإنه يصبح خطيرًا بشكل خاص. التمسك بقصة ضعف واحد ؛ كانت المشكلة موجودة في قاعدة البيانات لسنوات ، ولكن لم يتم رصدها. الأداة التي تم استخدامها على نطاق واسع لم تكن في الواقع مدعومة على نطاق واسع - و ما حدث بعد ذلك هو التاريخ.

تتكرر هذه القصة مرارًا وتكرارًا ، عبر العديد من الشركات التي لديها تبعيات حرجة ولكنها لا تتخذ إجراءات لدعم المشرفين أو المشاريع نفسها. إن وجود SBOM للبرامج المستخدمة من قبل شركة ما يعني أن لديهم المعلومات المتاحة. بالنسبة للمؤسسات التي تقدم البرامج للآخرين ، فإن توقع توفير SBOM جنبًا إلى جنب مع الكود هو القاعدة بشكل متزايد.

تعرف على التبعيات لتقييم المخاطر

إن جلب المعرفة بالتبعية يجعل من السهل تقييم المخاطر المرتبطة بكل منها. هذه المشاريع مفتوحة المصدر هي الأبسط من حيث التقييم: هل تم الرد على المشكلات ، وهل تم إصدار أي إصدارات مؤخرًا؟ أن تكون قادرًا على رؤية القائمين على الصيانة ونشاط المشروع لكل مشروع يعطي فكرة جيدة عن حالة المشروع.

يمكن للشركات أن تلعب دورها في تقليل المخاطر من خلال دعم المشاريع التي تعتمد عليها. تقبل بعض المشاريع الرعاية مباشرة عبر مخطط GitHub الرعاة ، وقد يقدّر البعض الآخر عروض الاستضافة أو تدقيق الأمان. كل مشروع مفتوح المصدر يقدر المساهمات. إذا كان عملك قد أنشأ هذه المكتبة بنفسه ، فسيتعين على المهندسين داخل الشركة إصلاح كل خطأ بأنفسهم.

المصدر المفتوح هو أشبه بنظام الملكية المشتركة. لا يتعين علينا جميعًا بناء نفس الشيء بشكل متكرر ، بل يمكننا المساهمة ، وهو ما يمثل جهدًا أقل ويؤدي إلى جودة أفضل نتيجة لذلك. أحد أكثر الأشياء تأثيرًا التي يمكن للشركات القيام بها هو استخدام القليل من مواردها الهندسية و المساهمة في إصلاحات الأخطاء أو الميزات في المشاريع التي هي جوهر الأعمال.

الحفاظ على المهندسين المشاركين في المشروع له فوائد عديدة. يتعرفون عليه ويمكنهم مراقبة الميزات الجديدة أو عند توفر إصدار جديد. بشكل حاسم ، لدى الشركة نظرة ثاقبة على صحة وحالة المشروع التابع وهي جزء مما يحافظ على صحته ، مما يقلل من المخاطر التي تتعرض لها الأعمال بسبب مشكلة التبعية. عدد من المنظمات ، بما في ذلك Aiven ، لديها OSPO (مكتب برنامج مفتوح المصدر) ، مع موظفين مكرسين للمساهمة في أو حتى الحفاظ على المشاريع التي تستخدمها المنظمة. غالبًا ما تساهم هذه الأقسام في التواجد العام للشركة في النظام البيئي مفتوح المصدر وتمكين الموظفين الآخرين من التعامل مع المصادر المفتوحة.

نهج آخر هو دعم المنظمات الموجودة لدعم المصادر المفتوحة. ال OpenSSF (مؤسسة أمان المصدر المفتوح) يعمل على تحسين أمن المشاريع مفتوحة المصدر ويتم تمويله من قبل المنظمات التي تعتمد على تلك المشاريع. كما تنشر موارد تعليمية ممتازة حتى تتمكن الشركات من تثقيف نفسها حول مخاطر البرامج التي يستخدمونها. منظمة أخرى مماثلة هي Tidelift، التي تشارك مع المشرفين لضمان تلبية بعض المتطلبات الأساسية ، ومرة ​​أخرى تمول من قبل المنظمات. يوفر Tidelift أيضًا الأدوات والتعليم لمساعدة الشركات على إدارة سلسلة توريد البرامج الخاصة بهم واعتماد أفضل الممارسات في هذا المجال.

تأمين مستقبل برمجي أكثر أمانًا

تعتمد الشركات على البرامج ، ويشمل ذلك البرامج مفتوحة المصدر ، والتي تُستخدم على نطاق واسع وتكون عادةً أكثر أمانًا من البدائل الاحتكارية.

هذه خطوة ذكية ، ولكن الخطوة الأكثر ذكاءً تتمثل في الحصول على معرفة واضحة بسلسلة توريد البرامج وتبعياتها. عندما تظهر مشكلة ، فإن الاعتماد على المشاريع الصحية وتوافر تفاصيل البرنامج الخاص بك يساعد كل مؤسسة. إذا قامت كل منظمة بذلك ، فسيتم تقليل خطر حدوث أحداث مثل ثغرة Log4Shell.

الطابع الزمني:

اكثر من قراءة مظلمة