XZ Utils Scare সফ্টওয়্যার নিরাপত্তায় কঠিন সত্য প্রকাশ করে

XZ Utils ডেটা কম্প্রেশন ইউটিলিটিতে একটি ব্যাকডোরের সাম্প্রতিক আবিষ্কার — যা প্রায় সমস্ত প্রধান লিনাক্স ডিস্ট্রিবিউশনে উপস্থিত — একটি স্পষ্ট অনুস্মারক যে সংস্থাগুলি ওপেন সোর্স উপাদানগুলি ব্যবহার করে শেষ পর্যন্ত সফ্টওয়্যারটি সুরক্ষিত করার জন্য নিজের দায়িত্ব।

XZ Utils, অন্যান্য হাজার হাজার ওপেন সোর্স প্রকল্পের মতো, স্বেচ্ছাসেবক দ্বারা পরিচালিত হয় এবং এর ক্ষেত্রে, এটি পরিচালনা করার জন্য একজন একক রক্ষণাবেক্ষণকারী রয়েছে। এই জাতীয় প্রকল্পগুলিতে প্রায়শই সুরক্ষা সমস্যাগুলি পরিচালনা করার জন্য খুব কম বা কোনও সংস্থান নেই, যার অর্থ সংস্থাগুলি তাদের নিজস্ব ঝুঁকিতে সফ্টওয়্যার ব্যবহার করে। এর মানে নিরাপত্তা বিশেষজ্ঞরা বলছেন, নিরাপত্তা ও উন্নয়ন দলগুলোকে ওপেন সোর্স ঝুঁকি ব্যবস্থাপনার জন্য ব্যবস্থা বাস্তবায়ন করতে হবে যেভাবে তারা অভ্যন্তরীণভাবে উন্নত কোডের সাথে করে।

"যদিও এটি অসম্ভাব্য যে একটি সংস্থা কার্যকরভাবে [সমস্ত] সরবরাহ চেইন ঝুঁকির এক্সপোজার প্রতিরোধ করতে পারে, সংস্থাগুলি একটি সাপ্লাই চেইন আক্রমণ সফল হওয়ার সম্ভাবনা কমানোর জন্য একটি কৌশলের উপর পুরোপুরি ফোকাস করতে পারে," জেমি স্কট বলেছেন, এন্ডর ল্যাবসের প্রতিষ্ঠাতা পণ্য ব্যবস্থাপক।

ওপেন সোর্স আউটসোর্সিংয়ের মতো নয়: “সফ্টওয়্যারের ওপেন সোর্স রক্ষণাবেক্ষণকারীরা স্বেচ্ছাসেবক। একটি শিল্প পর্যায়ে, আমাদের তাদের সাথে এমন আচরণ করা দরকার। আমরা আমাদের সফ্টওয়্যার মালিক; আমরা যে সফ্টওয়্যারটি পুনরায় ব্যবহার করি তার জন্য আমরা দায়ী৷

ভাল-উদ্দেশ্যযুক্ত, কম সম্পদযুক্ত

ওপেন সোর্স সফটওয়্যার নিরাপত্তা নিয়ে উদ্বেগ কোনভাবেই নতুন নয়। কিন্তু এটা প্রায়ই মত আবিষ্কার লাগে Log4Shell দুর্বলতা এবং XZ Utils মধ্যে পিছনের দরজা প্রতিষ্ঠানগুলি তাদের কোডের উপাদানগুলির জন্য কতটা ঝুঁকিপূর্ণ তা সত্যিই বাড়িতে চালাতে। এবং প্রায়শই, কোডটি আসে সৎ উদ্দেশ্যপ্রণোদিত তবে আশাহীনভাবে কম-সম্পাদিত ওপেন সোর্স প্রকল্প থেকে যা ন্যূনতমভাবে রক্ষণাবেক্ষণ করা হয়।

XZ Utils, উদাহরণস্বরূপ, মূলত একটি এক-ব্যক্তি প্রকল্প। আরেকজন ম্যানেজ করেছেন ইউটিলিটি মধ্যে পিছনের দরজা ছিঁচকে প্রায় তিন বছরের মেয়াদে, ধীরে ধীরে প্রকল্প রক্ষণাবেক্ষণকারীর কাছ থেকে যথেষ্ট আস্থা অর্জন করে। ডেবিয়ান ইনস্টলেশনের সাথে যুক্ত অদ্ভুত আচরণের তদন্ত করার সময় যদি কোনও মাইক্রোসফ্ট ডেভেলপার মার্চের শেষের দিকে এটির দিকে নজর না দিয়ে থাকে, তবে ব্যাকডোরটি বিশ্বব্যাপী লক্ষ লক্ষ ডিভাইসে শেষ হয়ে যেতে পারে - যার মধ্যে বড় কর্পোরেশন এবং সরকারী সংস্থাগুলির অন্তর্ভুক্ত। যেহেতু এটি পরিণত হয়েছে, ব্যাকডোরের ন্যূনতম প্রভাব ছিল কারণ এটি XZ Utils-এর সংস্করণগুলিকে প্রভাবিত করেছিল যেগুলি শুধুমাত্র ডেবিয়ান, ফেডোরা, কালি, ওপেন SUSE এবং আর্চ লিনাক্সের অস্থির এবং বিটা সংস্করণগুলিতে উপস্থিত ছিল।

পরবর্তী এই ধরনের ওপেন সোর্স কোড আপস আরও খারাপ হতে পারে। "এন্টারপ্রাইজ সংস্থাগুলির জন্য সবচেয়ে ভয়ঙ্কর অংশটি হল যে তাদের অ্যাপ্লিকেশনগুলি XZ Utils-এর মতো ওপেন সোর্স সফ্টওয়্যার প্রকল্পগুলির উপরে তৈরি করা হয়," বলেছেন ডোনাল্ড ফিশার, টাইডলিফ্টের সহ-প্রতিষ্ঠাতা এবং সিইও৷ "XZ Utils হল দশ হাজারের একটি প্যাকেজ যা প্রতিদিন সাধারণ এন্টারপ্রাইজ সংস্থাগুলির দ্বারা ব্যবহৃত হয়," তিনি বলেছেন।

এই সংস্থাগুলির বেশিরভাগই ঝুঁকি মূল্যায়ন করতে সক্ষম হওয়ার জন্য তাদের সফ্টওয়্যার সরবরাহ শৃঙ্খলের এই অংশের সুরক্ষা এবং স্থিতিস্থাপকতার জন্য যথেষ্ট দৃশ্যমানতার অভাব রয়েছে, তিনি নোট করেছেন।

সাম্প্রতিক হার্ভার্ড বিজনেস স্কুল সমীক্ষা অনুমান করেছে যে ওপেন সোর্স সফ্টওয়্যারের চাহিদা-পার্শ্বের মূল্য একটি আশ্চর্যজনক $8.8 ট্রিলিয়ন। রক্ষণাবেক্ষণকারীরা এই বাস্তুতন্ত্রের মূলে রয়েছে এবং তাদের মধ্যে অনেকেই একা উড়ছে, ফিশার বলেছেন। গত বছর Tidelift দ্বারা পরিচালিত একটি সমীক্ষায় দেখা গেছে যে 44% ওপেন সোর্স প্রকল্পের রক্ষণাবেক্ষণকারীরা নিজেদেরকে তাদের প্রকল্পের একমাত্র রক্ষণাবেক্ষণকারী হিসাবে বর্ণনা করেছেন। ষাট শতাংশ নিজেদেরকে অবৈতনিক শখ হিসাবে চিহ্নিত করেছে, এবং একই শতাংশ বলেছেন যে তারা হয় ছেড়ে দিয়েছে বা প্রকল্প রক্ষণাবেক্ষণকারী হিসাবে তাদের ভূমিকা ছেড়ে দেওয়ার কথা বিবেচনা করেছে। ফিশার বলেছেন, অনেক রক্ষণাবেক্ষণকারী তাদের প্রচেষ্টাকে চাপযুক্ত, একাকী এবং আর্থিকভাবে অপ্রীতিকর কাজ হিসাবে বর্ণনা করেছেন।

"এক্সজেড ইউটিলস হ্যাক ওপেন সোর্স সফ্টওয়্যার সাপ্লাই চেইন [যে] এন্টারপ্রাইজ সংস্থাগুলি নির্ভর করে স্বাস্থ্য এবং স্থিতিস্থাপকতায় কম-বিনিয়োগের ঝুঁকিগুলিকে সম্পূর্ণ স্বস্তি এনে দেয়," ফিশার বলেছেন৷ “এন্টারপ্রাইজ সংস্থাগুলিকে বুঝতে হবে যে বেশিরভাগ নির্ভরশীল ওপেন সোর্স প্যাকেজগুলি স্বেচ্ছাসেবকদের দ্বারা রক্ষণাবেক্ষণ করা হয় যারা নিজেদেরকে অবৈতনিক শখ হিসাবে বর্ণনা করে৷ এই রক্ষণাবেক্ষণকারীরা এন্টারপ্রাইজ সরবরাহকারী নয় তবে তাদের মতো কাজ এবং সরবরাহ করার আশা করা হচ্ছে।"

বিপদ: ট্রানজিটিভ নির্ভরতা

A Endor পরিচালিত যে অধ্যয়ন 2022 সালে দেখা গেছে যে 95% ওপেন সোর্স দুর্বলতা তথাকথিত ট্রানজিটিভ নির্ভরতা বা সেকেন্ডারি ওপেন সোর্স প্যাকেজ বা লাইব্রেরিতে উপস্থিত রয়েছে যেগুলির উপর প্রাথমিক ওপেন-সোর্স প্যাকেজ নির্ভর করতে পারে। প্রায়শই, এগুলি এমন প্যাকেজ যা বিকাশকারীরা সরাসরি নিজেদের নির্বাচন করে না কিন্তু স্বয়ংক্রিয়ভাবে তাদের উন্নয়ন প্রকল্পে একটি ওপেন সোর্স প্যাকেজ দ্বারা নিযুক্ত হয়।

"উদাহরণস্বরূপ, আপনি যখন একটি মাভেন প্যাকেজকে বিশ্বাস করেন, তখন গড়ে অতিরিক্ত 14টি নির্ভরতা থাকে যার ফলে আপনি স্পষ্টভাবে বিশ্বাস করেন," স্কট বলেছেন। "এই সংখ্যাটি কিছু নির্দিষ্ট সফ্টওয়্যার ইকোসিস্টেম যেমন NPM-এ আরও বড় যেখানে আপনি গড়ে আপনার বিশ্বাসের প্রত্যেকটির জন্য 77 টি অন্যান্য সফ্টওয়্যার উপাদান আমদানি করেন।"

ওপেন সোর্স ঝুঁকি কমানো শুরু করার একটি উপায় হল এই নির্ভরতাগুলির প্রতি মনোযোগ দেওয়া এবং আপনি কোন প্রকল্পগুলি বেছে নেন সে সম্পর্কে নির্বাচন করা, তিনি বলেছেন।

সংস্থাগুলির নির্ভরতা পরীক্ষা করা উচিত, বিশেষত ছোট, এক-অফ-প্যাকেজ, এক- এবং দুই-ব্যক্তির দল দ্বারা পরিচালিত, যোগ করে দিমিত্রি স্টিলিয়াডিস, এন্ডোর সিটিও এবং সহ-প্রতিষ্ঠাতা। তাদের নির্ধারণ করা উচিত যে তাদের পরিবেশের নির্ভরতাগুলির যথাযথ নিরাপত্তা নিয়ন্ত্রণ আছে কিনা বা একজন একক ব্যক্তি সমস্ত কোড কমিট করে কিনা; তাদের সংগ্রহস্থলে বাইনারি ফাইল আছে কিনা যা কেউ জানে না; অথবা এমনকি যদি কেউ সক্রিয়ভাবে প্রকল্পটি রক্ষণাবেক্ষণ করে থাকে, স্টিলিয়াডিস বলেছেন।

"আপনার প্রতিক্রিয়া কার্যকারিতা উন্নত করার জন্য আপনার প্রচেষ্টাকে ফোকাস করুন - একটি পরিপক্ক সফ্টওয়্যার ইনভেনটরি বজায় রাখার মতো মৌলিক নিয়ন্ত্রণগুলি সফ্টওয়্যার ঝুঁকিগুলি সনাক্ত করার পরে দ্রুত সনাক্তকরণ, সুযোগ এবং প্রতিক্রিয়া জানাতে আপনার কাছে থাকা সর্বোচ্চ মূল্যের প্রোগ্রামগুলির মধ্যে একটি হিসাবে রয়ে গেছে," স্কট উপদেশ দেয়

সফ্টওয়্যার-কম্পোজিশন অ্যানালাইসিস টুল, দুর্বলতা স্ক্যানার, EDR/XDR সিস্টেম, এবং SBOM সবগুলিই সংস্থাগুলিকে দ্রুত দুর্বল এবং আপস করা ওপেন সোর্স উপাদানগুলি সনাক্ত করতে সাহায্য করতে পারে।

হুমকি স্বীকার

"সি-স্যুট এবং এমনকি বোর্ড স্তরে শেয়ার করা বোঝাপড়া এবং স্বীকৃতির মাধ্যমে এক্সপোজার কমানো শুরু হয় যে গড় সফ্টওয়্যার পণ্যের উপাদানগুলির প্রায় 70% ওপেন সোর্স সফ্টওয়্যার ঐতিহাসিকভাবে বেশিরভাগ ক্ষতিপূরণহীন অবদানকারীদের দ্বারা তৈরি করা হয়," টিডেলিফ্টের ফিশার বলেছেন৷  

আর্থিক পরিষেবা শিল্প, এফডিএ এবং এনআইএসটি-তে নতুন প্রবিধান এবং নির্দেশিকাগুলি সামনের বছরগুলিতে কীভাবে সফ্টওয়্যার তৈরি করা হয় এবং সংস্থাগুলিকে এখনই তাদের জন্য প্রস্তুত করা দরকার তা গঠন করবে। "এখানে বিজয়ীরা ওপেন সোর্স-সম্পর্কিত ঝুঁকি পরিচালনা করার জন্য একটি প্রতিক্রিয়াশীল কৌশল থেকে একটি সক্রিয় কৌশলের সাথে দ্রুত মানিয়ে নেবে," তিনি বলেছেন।

ফিশার সুপারিশ করেন যে সংস্থাগুলি তাদের সুরক্ষা এবং প্রকৌশল দলগুলিকে সনাক্ত করতে তাদের পরিবেশে নতুন ওপেন সোর্স উপাদানগুলি কীভাবে আসে। তাদের এই উপাদানগুলি নিরীক্ষণের জন্য ভূমিকাও সংজ্ঞায়িত করা উচিত এবং কোম্পানির ঝুঁকির ক্ষুধার সাথে খাপ খায় না এমনগুলিকে সক্রিয়ভাবে সরিয়ে ফেলা উচিত। "গত কয়েক বছর ধরে ব্যবসার ঝুঁকির মাত্রা মোকাবেলা করার জন্য শেষ পর্যায়ের সমস্যাগুলির প্রতিক্রিয়া একটি অকার্যকর উপায় হয়ে উঠেছে, এবং মার্কিন সরকার ইঙ্গিত দিচ্ছে সেই যুগের অবসান ঘটছে,” তিনি বলেছেন।

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/application-security/xz-utils-scare-exposes-hard-truths-in-software-security