سافٹ ویئر سپلائی چین سیکیورٹی کو ایک بڑی تصویر کی ضرورت ہے۔

عالمی سافٹ ویئر سپلائی چین میں اوپن سورس انحصار کی پیچیدہ بھولبلییا نے بڑے تناسب کی ایپلی کیشن سیکیورٹی پہیلی بنائی ہے۔ خواہ اوپن سورس ہو یا بند، آج دنیا کے بیشتر سافٹ ویئر تھرڈ پارٹی اجزاء اور لائبریریوں پر بنائے گئے ہیں۔ نتیجتاً، چھوٹے سے چھوٹے اوپن سورس پروجیکٹس میں بھی کمزور کوڈ کا ایک ٹکڑا ڈومینو اثر ڈال سکتا ہے جو ہزاروں دیگر ایپلی کیشنز، APIs، کلاؤڈ انفراسٹرکچر کے اجزاء اور مزید کو متاثر کرتا ہے۔

یہ مسئلہ آج کل CISOs کے سب سے زیادہ دباؤ والے سیکورٹی خدشات میں سے ایک بنتا جا رہا ہے، اور انفرادی انٹرپرائز کی سطح پر، تنظیمیں تعمیر جیسے منصوبوں کے ساتھ اس سے نمٹنے کے لیے سخت محنت کر رہی ہیں۔ مواد کے سافٹ ویئر بل (SBOMs)، اوپن سورس سیکیورٹی مینجمنٹ کے معیارات قائم کرنا، اور تخلیق کرنا ڈویلپرز کے لیے تکنیکی حفاظتی دستے ان کی پیروی کرنا.

لیکن ضروری نہیں کہ یہ کوششیں زیادہ نظامی سطح پر مسئلہ کو حل کریں۔ اوپن سورس کمیونٹی کے بہت سے ماہرین کے مطابق، ڈاؤن اسٹریم سپلائی چین میں سب سے بڑا ڈینٹ بنانے کے لیے، اوپن سورس پروجیکٹ مینٹینرز کی مدد کے لیے مزید کوششیں کرنے کی ضرورت ہے۔ ان کے کوڈ کو صاف کریں۔.

یہ کا مقصد ہے الفا اومیگا پروجیکٹ. اگلے ماہ اپنی ایک سال کی سالگرہ منانے والی ہے، الفا-اومیگا ایک بڑا تصویری سیکیورٹی پروجیکٹ ہے جسے اوپن سورس سیکیورٹی فاؤنڈیشن (اوپن ایس ایس ایف) اور اس کی بنیادی تنظیم لینکس فاؤنڈیشن نے سافٹ ویئر سپلائی چین سیکیورٹی میں بنیادی مسائل کو حل کرنے کے لیے ایک ساتھ رکھا ہے۔

۔ الفا پراجیکٹ کا رخ وسیع تر سپلائی چین کے لیے انتہائی اہم اوپن سورس پروجیکٹس کے مینٹینرز کے ساتھ تعاون کرنے پر مرکوز ہے — بشمول نوڈ اور jQquery جیسے قابل ذکر — تاکہ ان کے کوڈ کی حفاظتی پوزیشن کو برابر کرنے میں ان کی مدد کی جا سکے۔ یہ وہ پروجیکٹس ہیں جنہیں اوپن ایس ایس ایف سیکیورنگ کریٹیکل پروجیکٹس ورکنگ گروپ نے ماہرین کی رائے اور اوپن ایس ایس ایف کریٹیکلٹی اسکور جیسے بینچ مارکس سے ڈیٹا کا استعمال کرتے ہوئے ہاتھ سے منتخب کیا ہے تاکہ سب سے بڑے بہاو اثر والے پروجیکٹس کا تعین کیا جاسکے۔

۔ ومیگا پروجیکٹ کا رخ سافٹ ویئر سپلائی چین سیکیورٹی کی لمبی دم کی طرف موڑتا ہے، آٹومیشن اور ٹولنگ کا استعمال کرتے ہوئے 10,000 وسیع پیمانے پر تعینات اوپن سورس پروجیکٹس کی حد میں سیکیورٹی کے اہم خطرات کی نشاندہی کرتا ہے۔ یہ سب سے کم لٹکنے والی، سب سے واضح خامیوں کے تدارک کو بڑھانے کی کوشش ہے جو پوری سپلائی چین میں پھیلی ہوئی ہیں۔

ابتدائی طور پر گوگل اور مائیکروسافٹ کے ذریعے مالی اعانت فراہم کی گئی، اضافی ٹول چین اور مالیاتی کمپنی Citi کے عملے کی مدد کے ساتھ، Alpha-Omega نے AWS سے اضافی $2022 ملین چھین کر 2.5 کو سمیٹ لیا۔ مزید اہم بات یہ ہے کہ یہ پروجیکٹ 2023 کے لیے دو نئے اہم ملازمین کے ساتھ تیاری کر رہا ہے — یسینیا یسر، جو پہلے ریڈ ہیٹ اور جوناتھن لیٹسشوہ کے لیے پروڈکٹ سیکیورٹی انجینئر تھیں، جنہوں نے ابھی اپنا کام مکمل کیا۔ پہلے ڈین کامنسکی فیلو کے طور پر ایک سالہ دور انسانی سلامتی کے لیے۔ Yser ایک سینئر سافٹ ویئر سیکورٹی انجینئر کے طور پر قدم رکھتا ہے اور Leitschuh اس پر اپنی تحقیق جاری رکھے گا۔ خودکار اوپن سورس سیکیورٹی ریسرچ اور ایک سینئر سافٹ ویئر سیکورٹی محقق کے طور پر علاج.

الفا اومیگا پروجیکٹ کا پہلا سال

یہ پروجیکٹ کئی ہائی پروفائل سیکیورٹی پروجیکٹس میں سے ایک ہے جس کی سربراہی کی گئی ہے۔ اوپن ایس ایس ایف اور لینکس فاؤنڈیشن کے ذریعہ فنڈ اکٹھا کیا گیا۔ اوپن سورس سیکیورٹی میں نظامی مسائل سے نمٹنے کے لیے پچھلے سال میں۔ حفاظتی منصوبوں پر تیزی سے فنڈنگ ​​اور کارروائی کے لیے تنظیموں کے کامیاب ماڈل کے بعد، الفا-اومیگا نے پہلے ہی کئی اہم محاذوں پر پیش رفت کی ہے۔

پروجیکٹ کی پہلی سالانہ رپورٹ کے مطابق، پروجیکٹ پہلے ہی پانچ مختلف اوپن سورس پروجیکٹس کے ساتھ کام کر چکا ہے: Node.js، دی ایکلیپس فاؤنڈیشن، دی رسٹ فاؤنڈیشن، jQuery، اور Python سافٹ ویئر فاؤنڈیشن۔ 2022 کے دوران، Alpha-Omega نے مختلف منصوبوں کے لیے 1.5 ملین ڈالر کی گرانٹ دی، جس میں Rust Foundation کو $460,000، Eclipse Foundation کو $400,000، اور Node کو $300,000 شامل ہیں۔ نوڈ کے معاملے میں، اس سپورٹ نے اسے نوڈ سیکیورٹی ورکنگ گروپ کو دوبارہ فعال کرنے اور اسے Node.js کے لیے سیکیورٹی اور خطرے کے ماڈل پر کام کرنے میں مدد فراہم کی، اور اس نے پروجیکٹ کے کوڈ بیس پر 20 مختلف خطرات کی رپورٹوں کو ٹرائی کرنے میں حوصلہ افزائی کی۔

مزید برآں، Alpha-Omega نے حال ہی میں Omega Analysis Toolchain کا ​​ابتدائی ورژن جاری کیا، جو اوپن سورس پیکجز میں اہم کمزوریوں کی نشاندہی کرنے کے لیے 27 مختلف سیکیورٹی تجزیہ کاروں کو ترتیب دیتا ہے۔ پراجیکٹ نے کئی تجرباتی ٹولز بھی جاری کیے، جن میں سیکیورٹی ریسرچ اور رپورٹنگ کو مزید موثر بنانے کے لیے ٹرائیج پورٹل بھی شامل ہے۔

سال دو کے لیے، پروجیکٹ گھر کے اومیگا سائیڈ پر کام کو تیز کرنے کا ارادہ رکھتا ہے۔

پروجیکٹ کے لیے 2023 کے پاس کیا ہے۔

الفا-اومیگا پروجیکٹ میں Yser اور Leitschuh کا اضافہ نہ صرف موجودہ کوششوں میں مزید دماغی طاقت، وقت، اور ہنر پیدا کرے گا بلکہ اوپن سورس سیکیورٹی پر سوئی کو حرکت دینے کے لیے کافی جوش و خروش بھی پیدا کرے گا۔

"اوپن سورس سافٹ ویئر ہر اس سامان میں ہے جو آج استعمال کیا جاتا ہے، ہمارے آٹوموٹو، ہوائی جہاز، فون، ٹریکرز، اور یہاں تک کہ یوٹیلیٹی سسٹمز،" Yser کہتے ہیں، جو DevSecOps اور سافٹ ویئر سپلائی چین کی دنیا میں گہری جڑیں رکھتے ہیں۔ ریڈ ہیٹ میں اپنی پوزیشن میں وہ سپلائی چین آپس کی ٹیکنیکل لیڈ تھیں۔ "پروجیکٹ کے وژن کا عالمی سطح پر اوپن سورس سافٹ ویئر، سپلائی چین سیکیورٹی، اور دنیا بھر کے لوگوں کی زندگیوں کی حفاظت کی حالت کو بہتر بنانے کا اثر ہے۔"

وہ براہ راست اومیگا ٹول چین اور ٹرائیج پورٹل کو بہتر بنانے پر کام کرے گی تاکہ انجینئرز کو بہتر بنانے میں مدد ملے کہ کس طرح پراجیکٹس اور کمزوری کے اثرات کا تجزیہ کیا جاتا ہے اور اسے کم کرنے کے لیے ترجیح دی جاتی ہے۔

وہ کہتی ہیں، "اومیگا ٹول چین کے لیے، اس سال کا ایک مقصد ایک ایسا آپریشنلائزڈ سسٹم ہونا ہے جس سے ایک مینٹینر یا ڈویلپر فائدہ اٹھا سکتا ہے۔" "Triage پورٹل کے لیے، مقصد یہ ہوگا کہ ایک محقق کی ایک SARIF رپورٹ کو پورٹل پر درآمد کرکے اور سسٹم کے اندر ان کی تحقیقات کو سنبھالنے کے ذریعے دریافت شدہ دریافت کو آزمانے کی صلاحیت کی حمایت کی جائے۔ یہ نظام الفا-اومیگا ٹیم تک محدود رہے گا جب تک کہ دوسری صورت میں نوٹ نہ کیا جائے، لیکن اوپن سورس سافٹ ویئر کی بدولت، ایک محقق اپنی مثال چلا سکتا ہے اور ریپوزٹری میں پل کی درخواستیں جمع کر سکتا ہے اور مجموعی مشن کی حمایت کر سکتا ہے۔"

وہ Leitschuh کے ساتھ قریبی تعاون میں کام کرے گی، جو اوپن سورس پروجیکٹس میں اسکیلنگ اور خودکار اصلاحات کے شعبے میں اہم اور تازہ ترین تجربہ لاتی ہے۔ اس نے پچھلے سال کی رفاقت اسی مسئلے پر کام کرتے ہوئے گزاری۔ اس کا مقصد اس کام کو جاری رکھنا ہے جو اس نے وہاں کیا تھا اور جو کچھ اس نے سیکھا اسے استعمال کرتے ہوئے اوپن سورس پروجیکٹس کے وسیع پیمانے پر پھیلی ہوئی سب سے زیادہ مروجہ اور اثر انگیز خامیوں کو جڑ سے اکھاڑ پھینکنے کے اپنے مشن کو آگے بڑھانا ہے۔

وہ کہتے ہیں "ہمیں شاید معلوم نہ ہو کہ وہ چھوٹے پیگ کہاں ہیں جو پوری سافٹ ویئر انڈسٹری کو تھامے ہوئے ہیں۔" "یہ سافٹ ویئر کے ان چھوٹے چھوٹے ٹکڑوں میں سے ایک ہو سکتا ہے جس کے GitHub پر 15 ستارے ہیں جنہیں کوئی نہیں جانتا، لیکن یہ پورے انٹرنیٹ کو روکے ہوئے ہے۔ تو ہم ان منصوبوں کو کیسے محفوظ بنائیں گے جن کے بارے میں کوئی نہیں جانتا، لیکن کیا یہ کسی نہ کسی طرح پوری سپلائی چین کے لیے بنیادی ہیں؟

ان کا کہنا ہے کہ رفاقت کے دوران اس کے کام نے اس کی مدد کی کہ وہ ضروری نہیں کہ کسی ایک حفاظتی خطرے کی گہرائی میں جائے، بلکہ اس کے بجائے ایک خاص قسم کی کمزوری کو دیکھ کر اور بہت سی مختلف جگہوں پر اسی خامی کو تلاش کرنے کے لیے خودکار طریقے تیار کیا۔ اوپن سورس ماحولیاتی نظام میں۔ یہ اومیگا ایتھوس کے ساتھ بالکل ٹھیک ہے، جس کی وجہ سے وہ اس کے نئے ٹمٹم کی طرف لے گیا۔

وہ تطہیر کی حمایت کرتا رہے گا۔ خودکار طریقے ڈیٹا فلو اور کنٹرول کے تجزیہ اور آٹو پل ریکوئسٹ جنریشن میں خامیوں کو دور کرنے کے لیے۔ لیکن وہ تعاون کے انتہائی دستی کام کو بھی جاری رکھے گا۔ اس نے پچھلے سال سیکھا ایک اہم سبق یہ ہے کہ اس کے اور اس کی الفا-اومیگا ٹیم کے آگے بہت سارے کام ضروری نہیں کہ تکنیکی ہوں۔ یہ دیکھ بھال کرنے والوں کے ساتھ تعلقات استوار کرنے میں ان کی مدد کرنے میں ہے کہ کس طرح کبھی کبھی ان کے پروجیکٹس میں سادہ اصلاحات بھی عالمی سافٹ ویئر سپلائی چین کی حفاظتی کرنسیوں پر بہت زیادہ اثر ڈال سکتی ہیں۔

"ٹیکنالوجسٹ اور سافٹ ویئر کے لوگ، ہم ہمیشہ انسانی عنصر سے محبت نہیں کرتے - ہمارے لیے بیٹھ کر کوڈ کی ایک لائن لکھنا آسان ہے جو اس چیز کا پتہ لگاتا ہے اور اسے دیوار کے اوپر پھینک دیتا ہے جتنا کہ ہمارے لیے کسی حقیقی شخص کے ساتھ مشغول ہونا ہے۔ اور انہیں قائل کرنے کی کوشش کریں کہ یہ ٹھیک کرنے کے قابل ہے،" وہ کہتے ہیں۔

وہ بتاتا ہے کہ کس طرح پچھلے سال کی ایک مثال اس نکتے کو بالکل واضح کرتی ہے۔ اس معاملے میں اس نے YAML پارسر کے ایک مینٹینر کے ساتھ کام کیا جس میں چھ سال پرانا ریموٹ کوڈ پر عمل درآمد کی خامی تھی جس کا بہت زیادہ بہاو اثر تھا۔ کافی دیر تک جب لیتشوہ نے اس کے بارے میں اس سے رابطہ کیا تو دیکھ بھال کرنے والے نے اسے کہا، "غیر بھروسہ YAML پر بھروسہ نہ کریں۔ یہ میری کمزوری نہیں ہے۔‘‘

آخر کار، بہت ساری تکنیکی بحث کے ساتھ ایک ویڈیو کال میں دیکھ بھال کرنے والے کو نیچے بٹھانے کے بعد، Leitschuh اسے یہ دکھانے کے قابل ہو گیا کہ اس نے جس تبدیلی کی درخواست کی تھی وہ انتہائی تنگ تھی اور اس کا بہت بڑا اثر ہو سکتا ہے۔

"لہٰذا وہ اب اس YAML پارسر میں چھ سالہ ریموٹ کوڈ پر عمل درآمد کے خطرے کو ٹھیک کرنے کے لیے تیار ہے کیونکہ آخر کار مجھ جیسا کوئی شخص اس کے ساتھ ویڈیو کال پر بیٹھا، اور اس کے ساتھ بات چیت کی تاکہ اسے کم سے کم بات پر قائل کیا جا سکے۔ اسے مزید محفوظ بنانے کے لیے کرنے کی ضرورت ہے،‘‘ وہ کہتے ہیں۔

اگرچہ Leitschuh نیچے کی طرف خطرے کو خود کار طریقے سے ٹھیک کر سکتا تھا، اس کے بجائے اس بحث کو زیادہ خوبصورت فکس کر رہا تھا۔

"میں نے سوچا کہ بیٹھنا اور اس مینٹینر کو راضی کرنے کی کوشش کرنے کے لیے سافٹ ویئر کے اس ایک ٹکڑے پر توجہ مرکوز کرنے میں وقت گزارنا میرے لیے قابل قدر ہے۔ ان مکالموں سے پوری صنعت پر وسیع تر مثبت اثرات مرتب ہوں گے،" وہ کہتے ہیں۔ "اس وقت آپ کو زمین پر جوتے کی ضرورت ہے۔ آپ کو ایسے لوگوں کی ضرورت ہے جو جانتے ہوں کہ وہ کس کے بارے میں بات کر رہے ہیں بیٹھ کر وقت گزارنے کے لیے جو کسی حقیقی شخص کے ساتھ مشغول ہونے کی ضرورت ہے۔

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/dr-tech/software-supply-chain-security-needs-bigger-picture