सॉफ्टवेयर सभी आधुनिक व्यवसायों के मूल में है और संचालन के हर पहलू में महत्वपूर्ण है। लगभग हर व्यवसाय ओपन सोर्स सॉफ़्टवेयर का उपयोग जानबूझकर या अन्यथा करेगा, क्योंकि मालिकाना सॉफ़्टवेयर भी ओपन सोर्स लाइब्रेरी पर निर्भर करता है। ओपनयूके के 2022 "स्टेट ऑफ़ ओपन" रिपोर्ट में पाया गया कि 89% व्यवसाय ओपन सोर्स सॉफ़्टवेयर पर निर्भर थे, लेकिन उनमें से सभी उस सॉफ़्टवेयर के विवरण पर स्पष्ट नहीं हैं जिस पर वे भरोसा करते हैं।
व्यवसाय तेजी से अपने संचालन-महत्वपूर्ण सॉफ़्टवेयर के बारे में अधिक जानकारी की मांग कर रहे हैं। जिम्मेदार व्यवसाय अपनी सॉफ़्टवेयर आपूर्ति श्रृंखला में विस्तृत रुचि ले रहे हैं और प्रत्येक एप्लिकेशन के लिए सॉफ़्टवेयर बिल ऑफ़ मैटेरियल्स (SBOM) बना रहे हैं। सूचना का यह स्तर महत्वपूर्ण है ताकि जब उनके सॉफ़्टवेयर में सुरक्षा खामियों की पहचान की जाए, तो वे तुरंत निश्चित हो सकें कि कौन से सॉफ़्टवेयर और संस्करण उपयोग में हैं, और कौन से सिस्टम प्रभावित हैं। इन स्थितियों में ज्ञान शक्ति है!
स्वयंसेवकों पर भरोसा
2021 के अंत में, एक सुरक्षा भेद्यता कहा जाता है लॉग4शेल व्यापक रूप से उपयोग किए जाने वाले जावा लॉगिंग फ्रेमवर्क, Log4j में पहचाना गया था। चूंकि यह एक व्यापक रूप से उपयोग किया जाने वाला, ओपन सोर्स लाइब्रेरी है, इसलिए भेद्यता को अच्छी तरह से प्रचारित किया गया था, और सुधार की उम्मीद थी। हालांकि परियोजना के अनुरक्षक स्वयंसेवक थे. उनके पास दिन के काम थे और वे तत्काल सुरक्षा सुधारों के लिए कॉल पर नहीं थे, भले ही बड़ी संख्या में सिस्टम प्रभावित हुए हों। अकेले इस भेद्यता का उद्यम क्लाउड वातावरण के 93% प्रभावित होने का अनुमान लगाया गया था।
उस समय, ओपन सोर्स के बारे में कुछ नकारात्मक प्रेस थे, लेकिन सच्चाई यह है कि अगर यह एक बंद-स्रोत घटक होता, तो भेद्यता को सार्वजनिक रूप से कभी नहीं जाना जाता, जिससे संगठन हमले के लिए खुले रहते हैं। पुस्तकालय की मुक्त स्रोत प्रकृति का अर्थ था कि इसका निरीक्षण किया जा सकता है, समस्याओं का पता लगाया जा सकता है और दूसरों द्वारा दी जाने वाली सलाह दी जा सकती है। तो, हाँ, अनुरक्षक अपने स्वयंसेवी परियोजना में सुरक्षा समस्याओं के लिए कॉल पर नहीं थे। तो बड़ा सवाल यह है कि: हम ऐसी स्थिति में कैसे पहुंचे जहां प्रमुख कंपनियां सॉफ्टवेयर पर निर्भर थीं, जो किसी ऐसे व्यक्ति की जिम्मेदारी थी जो अपने बिलों का भुगतान करने के लिए कुछ और करता है?
सॉफ़्टवेयर निर्भरता की उपेक्षा एक जोखिम भरा व्यवसाय है जो सॉफ़्टवेयर का लाइसेंस है, लेकिन जब यह खुला स्रोत है और बहुत व्यापक रूप से उपयोग किया जाता है, तो यह विशेष रूप से खतरनाक हो जाता है। एक भेद्यता की कहानी के साथ चिपके रहना; समस्या कोडबेस में वर्षों से मौजूद थी, लेकिन इसका पता नहीं चला। उपकरण जो इतने व्यापक रूप से उपयोग किया गया था, वास्तव में, इतना व्यापक रूप से समर्थित नहीं था - और आगे क्या हुआ इतिहास है.
यह कहानी कई व्यवसायों में बार-बार दोहराई जाती है, जिन पर महत्वपूर्ण निर्भरताएं होती हैं, लेकिन वे न तो अनुरक्षकों या स्वयं परियोजनाओं का समर्थन करने के लिए कार्रवाई नहीं करते हैं। किसी व्यवसाय द्वारा उपयोग किए जाने वाले सॉफ़्टवेयर के लिए SBOM होने का अर्थ है कि उनके पास जानकारी उपलब्ध है। उन संगठनों के लिए जो दूसरों को सॉफ़्टवेयर की आपूर्ति करते हैं, कोड के साथ SBOM की आपूर्ति की अपेक्षा तेजी से आदर्श बन रही है।
जोखिम का आकलन करने के लिए निर्भरता को जानें
निर्भरता का ज्ञान लाने से प्रत्येक से जुड़े जोखिम का आकलन करना आसान हो जाता है। ये ओपन सोर्स प्रोजेक्ट आकलन करने में सबसे सरल हैं: क्या मुद्दों का जवाब दिया गया है, और क्या हाल ही में कोई रिलीज हुई है? प्रत्येक परियोजना के लिए अनुरक्षकों और परियोजना गतिविधि को देखने में सक्षम होने से परियोजना के स्वास्थ्य के बारे में अच्छी जानकारी मिलती है।
व्यवसाय उन परियोजनाओं का समर्थन करके जोखिमों को कम करने के लिए अपनी भूमिका निभा सकते हैं जिन पर वे निर्भर हैं। कुछ प्रोजेक्ट सीधे GitHub प्रायोजक योजना के माध्यम से प्रायोजन स्वीकार करते हैं, अन्य इसके बजाय होस्टिंग, या सुरक्षा ऑडिट के प्रस्तावों की सराहना कर सकते हैं। प्रत्येक ओपन सोर्स प्रोजेक्ट योगदान की सराहना करता है। अगर आपके बिजनेस ने ही इस लाइब्रेरी को बनाया होता तो कंपनी के अंदर के इंजीनियरों को हर बग को खुद ही ठीक करना पड़ता।
ओपन सोर्स एक साझा स्वामित्व योजना की तरह है। हम सभी को एक ही चीज़ को बार-बार बनाने की ज़रूरत नहीं है, बल्कि योगदान कर सकते हैं, जो कम प्रयास है और परिणामस्वरूप बेहतर गुणवत्ता की ओर जाता है। सबसे प्रभावशाली चीजों में से एक व्यवसाय जो कर सकता है वह है अपने इंजीनियरिंग संसाधनों का थोड़ा सा उपयोग करना और बग फिक्स या परियोजनाओं में सुविधाओं में योगदान करें जो व्यवसाय के लिए बहुत महत्वपूर्ण हैं।
अपने स्वयं के इंजीनियरों को एक परियोजना में शामिल रखना कई फायदे हैं। वे इसे जानते हैं और नई सुविधाओं पर नज़र रख सकते हैं, या जब कोई नई रिलीज़ उपलब्ध होती है। महत्वपूर्ण रूप से, व्यवसाय के पास आश्रित परियोजना के स्वास्थ्य और स्थिति के बारे में अंतर्दृष्टि होती है और यह उस चीज का हिस्सा है जो इसे स्वस्थ रखता है, एक निर्भरता के साथ एक समस्या के व्यवसाय के जोखिम को कम करता है। एवेन सहित कई संगठनों के पास एक ओएसपीओ (ओपन सोर्स प्रोग्राम ऑफिस) है, जिसमें संगठन द्वारा उपयोग की जाने वाली परियोजनाओं में योगदान देने या बनाए रखने के लिए समर्पित कर्मचारी हैं। ये विभाग अक्सर ओपन सोर्स इकोसिस्टम में कंपनी की सामान्य उपस्थिति में योगदान करते हैं और अन्य कर्मचारियों को ओपन सोर्स के साथ जुड़ने में सक्षम बनाते हैं।
एक अन्य दृष्टिकोण उन संगठनों का समर्थन करना है जो खुले स्रोत का समर्थन करने के लिए मौजूद हैं। ओपनएसएसएफ (ओपन सोर्स सिक्योरिटी फाउंडेशन) ओपन सोर्स प्रोजेक्ट्स की सुरक्षा में सुधार के लिए काम करता है और उन संगठनों द्वारा वित्त पोषित किया जाता है जो उन परियोजनाओं पर निर्भर करते हैं। यह उत्कृष्ट शिक्षण संसाधन भी प्रकाशित करता है ताकि व्यवसाय अपने द्वारा उपयोग किए जाने वाले सॉफ़्टवेयर के जोखिमों के बारे में स्वयं को शिक्षित कर सकें। इसी तरह का एक और संगठन है टेडलिफ्ट, जो कुछ बुनियादी आवश्यकताओं को पूरा करने के लिए अनुरक्षकों के साथ साझेदार हैं, फिर से संगठनों द्वारा वित्त पोषित किया जाता है। टाइडलिफ्ट व्यवसायों को उनकी सॉफ्टवेयर आपूर्ति श्रृंखला का प्रबंधन करने और इस क्षेत्र में सर्वोत्तम प्रथाओं को अपनाने में मदद करने के लिए टूलिंग और शिक्षा भी प्रदान करता है।
एक सुरक्षित सॉफ्टवेयर भविष्य सुरक्षित करना
व्यवसाय सॉफ़्टवेयर पर निर्भर करते हैं, और इसमें ओपन सोर्स सॉफ़्टवेयर शामिल है, जो व्यापक रूप से उपयोग किया जाता है और आमतौर पर मालिकाना विकल्पों की तुलना में अधिक सुरक्षित होता है।
यह एक स्मार्ट कदम है, लेकिन इससे भी बेहतर कदम यह है कि सॉफ्टवेयर आपूर्ति श्रृंखला और इसकी निर्भरता का स्पष्ट ज्ञान हो। जब कोई समस्या उत्पन्न होती है, तो स्वस्थ परियोजनाओं के आधार पर और आपके सॉफ़्टवेयर का विवरण उपलब्ध होने से प्रत्येक संगठन को सहायता मिलती है। यदि प्रत्येक संगठन ने ऐसा किया है, तो Log4Shell भेद्यता जैसी घटनाओं के होने का जोखिम कम हो जाता है।
