بی توجهی به توسعه دهندگان منبع باز، اینترنت را در معرض خطر هوش داده پلاتوبلاکچین قرار می دهد. جستجوی عمودی Ai.

بی توجهی به توسعه دهندگان منبع باز اینترنت را در معرض خطر قرار می دهد

تمبر زمانی: 23 سپتامبر 2022، 10:00 صبح

نرم افزار هسته اصلی تمام مشاغل مدرن است و در هر جنبه ای از عملیات بسیار مهم است. تقریباً هر کسب و کاری از نرم‌افزار متن‌باز استفاده می‌کند، آگاهانه یا غیر از آن، زیرا حتی نرم‌افزار اختصاصی به کتابخانه‌های منبع باز بستگی دارد. OpenUK گزارش "وضعیت باز" در سال 2022 نشان داد که 89٪ از کسب و کارها به نرم افزار منبع باز متکی هستند، اما همه آنها در مورد جزئیات نرم افزاری که به آن تکیه می کنند واضح نیستند.

کسب‌وکارها به طور فزاینده‌ای خواستار اطلاعات بیشتری در مورد نرم‌افزار حیاتی عملیات خود هستند. کسب‌وکارهای مسئول به زنجیره تامین نرم‌افزار خود علاقه دقیقی نشان می‌دهند و برای هر برنامه یک صورتحساب مواد نرم‌افزاری (SBOM) ایجاد می‌کنند. این سطح از اطلاعات بسیار مهم است به طوری که وقتی نقص های امنیتی در نرم افزار آنها شناسایی می شود، بلافاصله می توانند مطمئن شوند که کدام نرم افزار و نسخه در حال استفاده هستند و کدام سیستم ها تحت تأثیر قرار می گیرند. دانش در این مواقع قدرت است!

اتکا به داوطلبان

در اواخر سال 2021، یک آسیب پذیری امنیتی به نام Log4Shell در یک چارچوب پرکاربرد لاگ جاوا، Log4j، شناسایی شد. از آنجایی که این یک کتابخانه متن باز و پرکاربرد است، آسیب پذیری به خوبی منتشر شد و انتظار می رفت که رفع شود. با این حال نگهبانان پروژه داوطلب بودند. آنها مشاغل روزانه داشتند و حتی اگر تعداد زیادی از سیستم ها تحت تأثیر قرار می گرفتند، برای تعمیرات امنیتی فوری آماده نبودند. تخمین زده می شود که این آسیب پذیری به تنهایی 93 درصد از محیط های ابری سازمانی را تحت تأثیر قرار داده است.

در آن زمان، برخی مطبوعات منفی در مورد منبع باز وجود داشت، اما حقیقت این است که اگر این یک جزء منبع بسته بود، ممکن است آسیب پذیری هرگز به طور عمومی شناخته نشده باشد و سازمان ها را برای حمله باز بگذارد. ماهیت منبع باز کتابخانه به این معنی است که می توان آن را بازرسی کرد، مشکلات را پیدا کرد و توسط دیگران توصیه کرد. بنابراین، بله، نگهبانان برای مشکلات امنیتی در پروژه داوطلبانه خود آماده نبودند. بنابراین، سوال بزرگ این است: چگونه به وضعیتی رسیدیم که شرکت‌های بزرگ به نرم‌افزاری وابسته بودند که مسئولیت آن شخصی است که برای پرداخت صورت‌حساب‌هایشان کار دیگری انجام می‌دهد؟

نادیده گرفتن وابستگی‌های نرم‌افزاری، صرفنظر از مجوز نرم‌افزار، یک کسب‌وکار مخاطره‌آمیز است، اما زمانی که منبع باز باشد و بسیار مورد استفاده قرار گیرد، به‌ویژه خطرناک می‌شود. چسبیدن به داستان یک آسیب پذیری؛ این مشکل سال ها در پایگاه کد وجود داشت، اما شناسایی نشد. ابزاری که به طور گسترده مورد استفاده قرار می گرفت، در واقع به طور گسترده ای پشتیبانی نمی شد - و آنچه بعد اتفاق افتاد تاریخ است.

این داستان بارها و بارها در بسیاری از مشاغل که وابستگی های مهمی دارند، اما برای حمایت از نگهبانان یا خود پروژه ها اقدامی نمی کنند، تکرار می شود. داشتن SBOM برای نرم افزار مورد استفاده توسط یک کسب و کار به این معنی است که آنها اطلاعات را در دست دارند. برای سازمان هایی که نرم افزار را به دیگران عرضه می کنند، انتظار عرضه SBOM در کنار کد به طور فزاینده ای عادی است.

برای ارزیابی ریسک، وابستگی ها را بشناسید

آگاهی از وابستگی ها ارزیابی ریسک مرتبط با هر یک را آسان تر می کند. این پروژه‌های منبع باز ساده‌ترین روش‌ها برای ارزیابی هستند: آیا به مسائل پاسخ داده شده است و آیا اخیراً نسخه‌ای منتشر شده است؟ توانایی دیدن نگهبانان و فعالیت های پروژه برای هر پروژه بینش خوبی در مورد سلامت پروژه می دهد.

کسب‌وکارها می‌توانند با حمایت از پروژه‌هایی که به آن‌ها وابسته هستند، نقش خود را در کاهش خطرات ایفا کنند. برخی از پروژه‌ها مستقیماً از طریق طرح حامیان GitHub حمایت مالی می‌پذیرند، برخی دیگر ممکن است در عوض از پیشنهادهای میزبانی یا ممیزی امنیتی استقبال کنند. هر پروژه منبع باز قدردان مشارکت است. اگر کسب و کار شما این کتابخانه را خودش ایجاد کرده بود، مهندسان داخل شرکت باید هر اشکالی را خودشان برطرف کنند.

منبع باز بیشتر شبیه یک طرح مالکیت مشترک است. همه ما مجبور نیستیم یک چیز را به طور مکرر بسازیم، بلکه می توانیم کمک کنیم، که هم تلاش کمتری می کند و هم به کیفیت بهتر در نتیجه منجر می شود. یکی از تاثیرگذارترین کارهایی که کسب و کارها می توانند انجام دهند این است که از اندکی از منابع مهندسی خود استفاده کنند و کمک به رفع اشکال یا ویژگی های پروژه ها که بسیار هسته اصلی کسب و کار هستند.

درگیر نگه داشتن مهندسان خود در یک پروژه فواید زیادی دارد آن‌ها با آن آشنا می‌شوند و می‌توانند چشم‌انداز ویژگی‌های جدید یا زمانی که نسخه جدیدی در دسترس است، داشته باشند. مهمتر از همه، کسب و کار بینشی در مورد سلامت و وضعیت پروژه وابسته دارد و بخشی از چیزی است که آن را سالم نگه می دارد و خطر یک مشکل با وابستگی را برای کسب و کار کاهش می دهد. تعدادی از سازمان‌ها، از جمله Aiven، دارای OSPO (دفتر برنامه منبع باز) هستند که کارکنانی برای مشارکت یا حتی حفظ پروژه‌های مورد استفاده سازمان اختصاص داده‌اند. این بخش‌ها اغلب به حضور عمومی شرکت در اکوسیستم منبع باز کمک می‌کنند و سایر کارمندان را قادر می‌سازند تا با منبع باز درگیر شوند.

رویکرد دیگر حمایت از سازمان هایی است که برای پشتیبانی از منبع باز وجود دارند. این OpenSSF (بنیاد امنیت منبع باز) برای بهبود امنیت پروژه های منبع باز کار می کند و توسط سازمان هایی که به آن پروژه ها وابسته هستند تأمین مالی می شود. همچنین منابع یادگیری عالی را منتشر می کند تا کسب و کارها بتوانند خود را در مورد خطرات نرم افزار مورد استفاده خود آموزش دهند. سازمان مشابه دیگر است تیدلیفت، که برای اطمینان از برآورده شدن برخی از الزامات اساسی با نگهبانان همکاری می کند و دوباره توسط سازمان ها تامین می شود. Tidelift همچنین ابزار و آموزش هایی را برای کمک به کسب و کارها در مدیریت زنجیره تامین نرم افزار و اتخاذ بهترین شیوه ها در این زمینه ارائه می دهد.

ایمن کردن آینده نرم افزاری ایمن تر

کسب‌وکارها به نرم‌افزار وابسته هستند و این شامل نرم‌افزار منبع باز است که به طور گسترده مورد استفاده قرار می‌گیرد و معمولاً امن‌تر از جایگزین‌های اختصاصی است.

این یک حرکت هوشمندانه است، اما حتی یک حرکت هوشمندانه تر، داشتن دانش روشن از زنجیره تامین نرم افزار و وابستگی های آن است. هنگامی که مشکلی پیش می آید، بسته به پروژه های سالم و در دسترس بودن جزئیات نرم افزار شما به هر سازمانی کمک می کند. اگر هر سازمانی این کار را انجام دهد، خطر رخدادهایی مانند آسیب‌پذیری Log4Shell کاهش می‌یابد.

تمبر زمان:

بیشتر از تاریک خواندن