সফ্টওয়্যার সমস্ত আধুনিক ব্যবসার মূলে রয়েছে এবং ক্রিয়াকলাপের প্রতিটি ক্ষেত্রে অত্যন্ত গুরুত্বপূর্ণ। প্রায় প্রতিটি ব্যবসাই ওপেন সোর্স সফ্টওয়্যার ব্যবহার করবে, জেনেশুনে বা অন্যথায়, যেহেতু এমনকি মালিকানাধীন সফ্টওয়্যারও ওপেন সোর্স লাইব্রেরির উপর নির্ভর করে। OpenUK এর 2022 "স্টেট অফ ওপেন" রিপোর্টে দেখা গেছে যে 89% ব্যবসা ওপেন সোর্স সফ্টওয়্যারের উপর নির্ভর করছে, কিন্তু তারা যে সফ্টওয়্যারগুলির উপর নির্ভর করে তার বিশদ বিবরণে তাদের সবগুলি স্পষ্ট নয়৷
ব্যবসাগুলি ক্রমবর্ধমানভাবে তাদের অপারেশন-সমালোচনামূলক সফ্টওয়্যার সম্পর্কে আরও তথ্যের দাবি করছে। দায়িত্বশীল ব্যবসাগুলি তাদের সফ্টওয়্যার সরবরাহ চেইনে বিশদ আগ্রহ নিচ্ছে এবং প্রতিটি অ্যাপ্লিকেশনের জন্য একটি সফ্টওয়্যার বিল অফ ম্যাটেরিয়াল (SBOM) তৈরি করছে৷ তথ্যের এই স্তরটি অত্যন্ত গুরুত্বপূর্ণ যাতে যখন তাদের সফ্টওয়্যারে নিরাপত্তা ত্রুটিগুলি চিহ্নিত করা হয়, তখন তারা অবিলম্বে নিশ্চিত হতে পারে কোন সফ্টওয়্যার এবং সংস্করণগুলি ব্যবহার করা হচ্ছে এবং কোন সিস্টেমগুলি প্রভাবিত হয়েছে৷ এই পরিস্থিতিতে জ্ঞানই শক্তি!
স্বেচ্ছাসেবকদের উপর নির্ভরতা
2021 সালের শেষের দিকে, একটি নিরাপত্তা দুর্বলতা বলা হয় Log4Shell একটি বহুল ব্যবহৃত জাভা লগিং ফ্রেমওয়ার্ক, Log4j-এ চিহ্নিত করা হয়েছিল। যেহেতু এটি একটি বহুল ব্যবহৃত, ওপেন সোর্স লাইব্রেরি, তাই দুর্বলতাটি ভালভাবে প্রচার করা হয়েছিল এবং সমাধানগুলি প্রত্যাশিত ছিল৷ তবে প্রকল্পের রক্ষণাবেক্ষণকারীরা ছিলেন স্বেচ্ছাসেবক. তাদের দিনের কাজ ছিল এবং তারা জরুরী নিরাপত্তা সংশোধনের জন্য ডাকেনি, এমনকি যদি বিপুল সংখ্যক সিস্টেম প্রভাবিত হয়। এই দুর্বলতা একাই এন্টারপ্রাইজ ক্লাউড পরিবেশের 93% প্রভাবিত করেছে বলে অনুমান করা হয়েছিল।
সেই সময়ে, ওপেন সোর্স সম্পর্কে কিছু নেতিবাচক প্রেস ছিল, কিন্তু সত্য হল যে যদি এটি একটি ক্লোজ-সোর্স উপাদান হয়, তাহলে দুর্বলতা প্রকাশ্যে কখনই জানা যেত না, সংগঠনগুলিকে আক্রমণের জন্য উন্মুক্ত রেখে। লাইব্রেরির ওপেন সোর্স প্রকৃতির অর্থ হল এটি পরিদর্শন করা যেতে পারে, সমস্যাগুলি পাওয়া যায় এবং অন্যদের দ্বারা প্রস্তাবিত পরামর্শ। তাই, হ্যাঁ, রক্ষণাবেক্ষণকারীরা তাদের স্বেচ্ছাসেবক প্রকল্পে নিরাপত্তা সমস্যার জন্য ডাকেনি। তারপরে বড় প্রশ্ন হল: আমরা কীভাবে এমন একটি পরিস্থিতিতে পড়লাম যেখানে বড় কোম্পানিগুলি সফ্টওয়্যারের উপর নির্ভর করছিল যা তাদের বিল পরিশোধ করার জন্য অন্য কিছু করার দায়িত্ব ছিল?
সফ্টওয়্যার নির্ভরতা অবহেলা একটি ঝুঁকিপূর্ণ ব্যবসা যা সফ্টওয়্যারের লাইসেন্স যাই হোক না কেন, কিন্তু যখন এটি ওপেন সোর্স এবং খুব ব্যাপকভাবে ব্যবহৃত হয়, তখন এটি বিশেষত বিপজ্জনক হয়ে ওঠে। এক দুর্বলতার গল্পের সাথে লেগে থাকা; সমস্যাটি কয়েক বছর ধরে কোডবেসে বিদ্যমান ছিল, কিন্তু দেখা যায়নি। যে সরঞ্জামটি এত ব্যাপকভাবে ব্যবহৃত হয়েছিল তা আসলে এত ব্যাপকভাবে সমর্থিত ছিল না — এবং এরপর যা ঘটেছে তা ইতিহাস.
এই গল্পটি বারবার পুনরাবৃত্তি হয়েছে, এমন অনেক ব্যবসা জুড়ে যেগুলির সমালোচনামূলক নির্ভরতা রয়েছে কিন্তু রক্ষণাবেক্ষণকারী বা প্রকল্পগুলিকে সমর্থন করার জন্য পদক্ষেপ নেয় না। একটি ব্যবসার দ্বারা ব্যবহৃত সফ্টওয়্যারের জন্য একটি SBOM থাকা মানে তাদের হাতে তথ্য রয়েছে৷ অন্যদের কাছে সফ্টওয়্যার সরবরাহকারী সংস্থাগুলির জন্য, কোডের পাশাপাশি SBOM সরবরাহের প্রত্যাশা ক্রমবর্ধমান আদর্শ।
ঝুঁকি মূল্যায়ন নির্ভরতা জানুন
নির্ভরতা সম্পর্কে জ্ঞান আনা প্রতিটির সাথে সম্পর্কিত ঝুঁকি মূল্যায়ন করা সহজ করে তোলে। এই ওপেন সোর্স প্রকল্পগুলি মূল্যায়ন করা সবচেয়ে সহজ: সমস্যাগুলি কি সাড়া দেওয়া হয়েছে এবং সম্প্রতি কি কোনও রিলিজ হয়েছে? প্রতিটি প্রকল্পের রক্ষণাবেক্ষণকারী এবং প্রকল্পের কার্যকলাপ দেখতে সক্ষম হওয়া প্রকল্পের স্বাস্থ্য সম্পর্কে ভাল অন্তর্দৃষ্টি দেয়।
ব্যবসাগুলি তাদের উপর নির্ভরশীল প্রকল্পগুলিকে সমর্থন করে ঝুঁকি কমাতে তাদের ভূমিকা পালন করতে পারে। কিছু প্রকল্প সরাসরি GitHub স্পনসর স্কিমের মাধ্যমে স্পনসরশিপ গ্রহণ করে, অন্যরা পরিবর্তে হোস্টিং বা নিরাপত্তা নিরীক্ষার প্রস্তাবের প্রশংসা করতে পারে। প্রতিটি ওপেন সোর্স প্রকল্প অবদানের প্রশংসা করে। আপনার ব্যবসা যদি এই লাইব্রেরিটি নিজেই তৈরি করে থাকে, তাহলে কোম্পানির অভ্যন্তরে থাকা ইঞ্জিনিয়ারদের প্রত্যেকটি বাগ নিজেরাই ঠিক করতে হবে।
ওপেন সোর্স অনেকটা শেয়ার্ড মালিকানা স্কিমের মতো। আমাদের সবাইকে একই জিনিস বারবার তৈরি করতে হবে না, বরং অবদান রাখতে পারি, যা উভয়ই কম পরিশ্রম এবং ফলস্বরূপ আরও ভাল মানের দিকে নিয়ে যায়। ব্যবসাগুলি করতে পারে এমন সবচেয়ে প্রভাবশালী জিনিসগুলির মধ্যে একটি হল তাদের প্রকৌশল সংস্থানগুলির সামান্য ব্যবহার এবং৷ বাগ সংশোধন বা প্রকল্পের বৈশিষ্ট্য অবদান যে ব্যবসার জন্য তাই মূল.
আপনার নিজের ইঞ্জিনিয়ারদের একটি প্রকল্পে জড়িত রাখা অনেক সুবিধা আছে। তারা এটি জানতে পারে এবং নতুন বৈশিষ্ট্যগুলির উপর নজর রাখতে পারে বা যখন একটি নতুন রিলিজ পাওয়া যায়। গুরুত্বপূর্ণভাবে, ব্যবসার নির্ভরশীল প্রকল্পের স্বাস্থ্য এবং অবস্থা সম্পর্কে অন্তর্দৃষ্টি রয়েছে এবং এটি এটিকে সুস্থ রাখার অংশ, নির্ভরতা সহ একটি সমস্যার ব্যবসার ঝুঁকি হ্রাস করে। আইভেন সহ বেশ কয়েকটি সংস্থার একটি ওএসপিও (ওপেন সোর্স প্রোগ্রাম অফিস) রয়েছে, যেখানে সংস্থার দ্বারা ব্যবহৃত প্রকল্পগুলিতে অবদান রাখার জন্য বা এমনকি রক্ষণাবেক্ষণের জন্য নিবেদিত কর্মী রয়েছে। এই বিভাগগুলি প্রায়ই ওপেন সোর্স ইকোসিস্টেমে কোম্পানির সাধারণ উপস্থিতিতে অবদান রাখে এবং অন্যান্য কর্মচারীদের ওপেন সোর্সের সাথে যুক্ত হতে সক্ষম করে।
আরেকটি পদ্ধতি হল ওপেন সোর্স সমর্থন করার জন্য বিদ্যমান সংস্থাগুলিকে সমর্থন করা। দ্য OpenSSF (ওপেন সোর্স সিকিউরিটি ফাউন্ডেশন) ওপেন সোর্স প্রকল্পগুলির নিরাপত্তা উন্নত করতে কাজ করে এবং সেইসব প্রকল্পের উপর নির্ভরশীল সংস্থাগুলির দ্বারা অর্থায়ন করা হয়৷ এটি চমৎকার শিক্ষার সংস্থানগুলিও প্রকাশ করে যাতে ব্যবসাগুলি তাদের ব্যবহার করা সফ্টওয়্যারগুলির ঝুঁকি সম্পর্কে নিজেদেরকে শিক্ষিত করতে পারে৷ অনুরূপ আরেকটি সংগঠন টিডলিফ্ট, যা কিছু মৌলিক প্রয়োজনীয়তা পূরণ করা নিশ্চিত করতে রক্ষণাবেক্ষণকারীদের সাথে অংশীদার হয়, আবার সংস্থাগুলি দ্বারা অর্থায়ন করা হয়। Tidelift ব্যবসায়িকদের তাদের সফ্টওয়্যার সরবরাহ চেইন পরিচালনা করতে এবং এই ক্ষেত্রে সর্বোত্তম অনুশীলনগুলি গ্রহণ করতে সহায়তা করার জন্য টুলিং এবং শিক্ষা প্রদান করে।
একটি নিরাপদ সফ্টওয়্যার ভবিষ্যত সুরক্ষিত
ব্যবসাগুলি সফ্টওয়্যারের উপর নির্ভর করে এবং এর মধ্যে রয়েছে ওপেন সোর্স সফ্টওয়্যার, যা ব্যাপকভাবে ব্যবহৃত হয় এবং সাধারণত মালিকানাধীন বিকল্পগুলির চেয়ে বেশি নিরাপদ৷
এটি একটি স্মার্ট পদক্ষেপ, তবে একটি আরও স্মার্ট পদক্ষেপ হল সফ্টওয়্যার সরবরাহ চেইন এবং এর নির্ভরতা সম্পর্কে স্পষ্ট জ্ঞান থাকা। যখন একটি সমস্যা দেখা দেয়, স্বাস্থ্যকর প্রকল্পের উপর নির্ভর করে এবং আপনার সফ্টওয়্যারের বিশদ উপলব্ধ থাকা প্রতিটি সংস্থাকে সহায়তা করে। যদি প্রতিটি প্রতিষ্ঠান এটি করে থাকে, তাহলে Log4Shell দুর্বলতার মতো ইভেন্ট হওয়ার ঝুঁকি কমে যায়।
