XZ Utils Scare سافٹ ویئر سیکیورٹی میں سخت سچائیوں کو بے نقاب کرتا ہے۔

XZ Utils ڈیٹا کمپریشن یوٹیلیٹی میں بیک ڈور کی حالیہ دریافت - جو تقریباً تمام بڑی لینکس ڈسٹری بیوشنز میں موجود ہے - ایک واضح یاد دہانی ہے کہ جو تنظیمیں اوپن سورس اجزاء استعمال کرتی ہیں وہ بالآخر سافٹ ویئر کو محفوظ کرنے کی ذمہ داری کی مالک ہوتی ہیں۔

XZ Utils، ہزاروں دیگر اوپن سورس پروجیکٹس کی طرح، رضاکارانہ طور پر چلایا جاتا ہے اور، اس کے معاملے میں، ایک ہی مینٹینر اس کا انتظام کرتا ہے۔ اس طرح کے پروجیکٹوں کے پاس سیکیورٹی کے مسائل سے نمٹنے کے لیے اکثر وسائل نہیں ہوتے ہیں، یعنی تنظیمیں سافٹ ویئر کا استعمال اپنے خطرے پر کرتی ہیں۔ سیکیورٹی ماہرین کا کہنا ہے کہ اس کا مطلب ہے کہ سیکیورٹی اور ترقیاتی ٹیموں کو اوپن سورس رسک کے انتظام کے لیے اسی طرح سے اقدامات کرنا ہوں گے جس طرح وہ اندرونی طور پر تیار کردہ کوڈ کے ساتھ کرتے ہیں۔

اینڈر لیبز کے بانی پروڈکٹ مینیجر جیمی سکاٹ کا کہنا ہے کہ "اگرچہ اس بات کا امکان نہیں ہے کہ کوئی تنظیم سپلائی چین کے خطرات کو مؤثر طریقے سے روک سکتی ہے، لیکن تنظیمیں سپلائی چین کے حملے کے کامیاب ہونے کے امکان کو کم کرنے کی حکمت عملی پر مکمل توجہ مرکوز کر سکتی ہیں۔"

اوپن سورس آؤٹ سورسنگ جیسا نہیں ہے: "سوفٹ ویئر کے اوپن سورس مینٹینرز رضاکار ہیں۔ صنعت کی سطح پر، ہمیں ان کے ساتھ ایسا سلوک کرنے کی ضرورت ہے۔ ہم اپنے سافٹ ویئر کے مالک ہیں؛ ہم اس سافٹ ویئر کے ذمہ دار ہیں جو ہم دوبارہ استعمال کرتے ہیں۔"

نیک نیت، کم وسائل والا

اوپن سورس سافٹ ویئر سیکیورٹی پر تشویش کسی بھی طرح نئے نہیں ہیں۔ لیکن یہ اکثر اس طرح کی دریافتیں لیتا ہے۔ لاگ 4 شیل کا خطرہ اور XZ Utils میں بیک ڈور واقعی گھر چلانے کے لیے کہ تنظیمیں اپنے کوڈ کے اجزاء کے لیے کتنی کمزور ہیں۔ اور اکثر، کوڈ نیک نیتی سے آتا ہے لیکن ناامیدی سے کم وسائل والے اوپن سورس پروجیکٹس جن کو کم سے کم برقرار رکھا جاتا ہے۔

XZ Utils، مثال کے طور پر، بنیادی طور پر ایک شخص کا منصوبہ ہے۔ ایک اور شخص کامیاب ہو گیا۔ افادیت میں پچھلے دروازے سے چپکے تقریباً تین سال کی مدت میں، آہستہ آہستہ پروجیکٹ مینٹینر سے کافی اعتماد حاصل کر کے۔ اگر مائیکروسافٹ ڈویلپر نے مارچ کے آخر میں ڈیبین انسٹالیشن سے وابستہ عجیب و غریب رویے کی تحقیقات کرتے وقت اس پر اتفاق نہ کیا ہوتا، تو بیک ڈور عالمی سطح پر لاکھوں ڈیوائسز پر ختم ہو سکتا تھا - بشمول بڑی کارپوریشنز اور سرکاری ایجنسیوں سے تعلق رکھنے والے۔ جیسا کہ یہ نکلا، بیک ڈور کا کم سے کم اثر ہوا کیونکہ اس نے XZ Utils کے ایسے ورژنز کو متاثر کیا جو صرف Debian، Fedora، Kali، open SUSE، اور Arch Linux کے غیر مستحکم اور بیٹا ورژن میں موجود تھے۔

اس طرح کا اگلا اوپن سورس کوڈ سمجھوتہ اس سے کہیں زیادہ خراب ہو سکتا ہے۔ ٹائیڈ لفٹ کے شریک بانی اور سی ای او ڈونلڈ فشر کہتے ہیں، "انٹرپرائز تنظیموں کے لیے سب سے خوفناک بات یہ ہے کہ ان کی ایپلیکیشنز XZ Utils کی طرح اوپن سورس سافٹ ویئر پروجیکٹس کے اوپر بنائی جاتی ہیں۔" "XZ Utils دسیوں ہزار کا ایک پیکیج ہے جو عام کاروباری تنظیموں کے ذریعہ روزانہ استعمال ہوتا ہے،" وہ کہتے ہیں۔

وہ نوٹ کرتے ہیں کہ ان میں سے زیادہ تر تنظیموں کے پاس اپنے سافٹ ویئر سپلائی چین کے اس حصے کی حفاظت اور لچک کے بارے میں کافی حد تک مرئیت کا فقدان ہے تاکہ وہ خطرے کا جائزہ لے سکیں۔

ایک حالیہ ہارورڈ بزنس اسکول مطالعہ کا اندازہ لگایا گیا ہے کہ اوپن سورس سافٹ ویئر کی ڈیمانڈ سائیڈ ویلیو حیران کن $8.8 ٹریلین ہے۔ فشر کا کہنا ہے کہ دیکھ بھال کرنے والے اس ماحولیاتی نظام کا مرکز ہیں اور ان میں سے بہت سے تنہا پرواز کر رہے ہیں۔ پچھلے سال ٹائیڈ لفٹ کے ذریعہ کئے گئے ایک سروے میں پتا چلا ہے کہ اوپن سورس پروجیکٹ مینٹینرز میں سے 44% خود کو اپنے پروجیکٹس کے واحد مینٹینرز کے طور پر بیان کرتے ہیں۔ ساٹھ فیصد نے خود کو بلا معاوضہ شوق رکھنے والوں کے طور پر شناخت کیا، اور اسی فیصد نے کہا کہ انہوں نے یا تو چھوڑ دیا ہے یا پروجیکٹ مینٹینرز کے طور پر اپنا کردار چھوڑنے پر غور کیا ہے۔ فشر کا کہنا ہے کہ بہت سے دیکھ بھال کرنے والوں نے اپنی کوششوں کو دباؤ، تنہا، اور مالی طور پر غیر فائدہ مند کام قرار دیا۔

فشر کا کہنا ہے کہ "XZ utils hack صحت میں کم سرمایہ کاری کے خطرات اور اوپن سورس سافٹ ویئر سپلائی چین [جس پر] انٹرپرائز آرگنائزیشنز بھروسہ کرتی ہیں، کے خطرات کو مکمل طور پر راحت پہنچاتی ہے۔ "انٹرپرائز تنظیموں کو یہ سمجھنے کی ضرورت ہے کہ سب سے زیادہ انحصار کرنے والے اوپن سورس پیکجوں کی دیکھ بھال رضاکاروں کے ذریعہ کی جاتی ہے جو خود کو بلا معاوضہ شوق کے طور پر بیان کرتے ہیں۔ یہ دیکھ بھال کرنے والے انٹرپرائز فراہم کرنے والے نہیں ہیں لیکن ان کی طرح کام کرنے اور ڈیلیور کرنے کی توقع کی جاتی ہے۔

خطرہ: عبوری انحصار

A مطالعہ جو Endor نے کیا 2022 میں پتہ چلا کہ اوپن سورس کی 95% کمزوریاں نام نہاد ٹرانزیٹو انحصار، یا ثانوی اوپن سورس پیکجز یا لائبریریوں میں موجود ہیں جن پر بنیادی اوپن سورس پیکیج انحصار کر سکتا ہے۔ اکثر، یہ ایسے پیکجز ہوتے ہیں جنہیں ڈویلپرز خود کو براہ راست منتخب نہیں کرتے ہیں لیکن ان کے ترقیاتی پروجیکٹ میں ایک اوپن سورس پیکج کے ذریعے خود بخود کام لیا جاتا ہے۔

"مثال کے طور پر، جب آپ ایک Maven پیکیج پر بھروسہ کرتے ہیں، تو اوسطاً ایک اضافی 14 انحصار ہوتے ہیں جس کے نتیجے میں آپ واضح طور پر بھروسہ کرتے ہیں،" سکاٹ کہتے ہیں۔ "یہ تعداد کچھ سافٹ ویئر ایکو سسٹم جیسے NPM میں اور بھی زیادہ ہے جہاں آپ اوسطاً ہر ایک کے لیے 77 دوسرے سافٹ ویئر اجزاء درآمد کرتے ہیں جس پر آپ اعتماد کرتے ہیں۔"

وہ کہتے ہیں کہ اوپن سورس کے خطرات کو کم کرنا شروع کرنے کا ایک طریقہ یہ ہے کہ ان انحصاروں پر توجہ دی جائے اور اس کے بارے میں انتخاب کیا جائے کہ آپ کون سے پروجیکٹ منتخب کرتے ہیں۔

تنظیموں کو انحصار کی جانچ کرنی چاہیے، خاص طور پر چھوٹے، ون آف پیکجز، جو ایک اور دو افراد کی ٹیموں کے ذریعے چلائے جاتے ہیں۔ Dimitri Stiliadis، Endor کے CTO اور شریک بانی۔ انہیں اس بات کا تعین کرنا چاہئے کہ آیا ان کے ماحول میں انحصار کے پاس مناسب حفاظتی کنٹرول ہیں یا اگر کوئی فرد تمام کوڈ کا ارتکاب کرتا ہے۔ چاہے ان کے ذخیروں میں بائنری فائلیں ہوں جن کے بارے میں کوئی نہیں جانتا؛ یا یہاں تک کہ اگر کوئی اس منصوبے کو بالکل بھی فعال طور پر برقرار رکھے ہوئے ہے، Stiliadis کہتے ہیں۔

اسکاٹ مشورہ دیتا ہے.

سافٹ ویئر کمپوزیشن کے تجزیہ کے ٹولز، کمزوری کے اسکینرز، EDR/XDR سسٹمز، اور SBOMs سبھی تنظیموں کو کمزور اور سمجھوتہ شدہ اوپن سورس اجزاء کی جلد شناخت کرنے میں مدد کر سکتے ہیں۔

خطرے کو تسلیم کرنا

Tidelift's Fischer کا کہنا ہے کہ "تخفیف کی نمائش C-suite میں اور یہاں تک کہ بورڈ کی سطح پر مشترکہ تفہیم اور اعتراف کے ساتھ شروع ہوتی ہے کہ اوسط سافٹ ویئر پروڈکٹ کے تقریباً 70% اجزاء اوپن سورس سافٹ ویئر ہیں جو تاریخی طور پر زیادہ تر غیر معاوضہ شراکت داروں کے ذریعہ تخلیق کیے گئے ہیں۔"  

مالیاتی خدمات کی صنعت، FDA، اور NIST میں نئے ضوابط اور رہنما خطوط وضع کریں گے کہ آنے والے سالوں میں کس طرح سافٹ ویئر تیار کیا جاتا ہے اور تنظیموں کو ابھی ان کے لیے تیاری کرنے کی ضرورت ہے۔ "یہاں جیتنے والے اوپن سورس سے متعلق خطرے کو سنبھالنے کے لیے ایک رد عمل کی حکمت عملی سے ایک فعال حکمت عملی کے لیے تیزی سے اپنائیں گے،" وہ کہتے ہیں۔

فشر تجویز کرتا ہے کہ تنظیمیں اپنی سیکیورٹی اور انجینئرنگ ٹیمیں اس بات کی نشاندہی کرنے کے لیے حاصل کریں کہ ان کے ماحول میں نئے اوپن سورس اجزاء کیسے آتے ہیں۔ انہیں ان اجزاء کی نگرانی کے لیے کردار کی بھی وضاحت کرنی چاہیے اور جو کمپنی کی خطرے کی بھوک کے مطابق نہیں ہیں انہیں فعال طور پر ہٹانا چاہیے۔ "پچھلے کئی سالوں سے کاروبار کے لیے خطرے کے پیمانے سے نمٹنے کے لیے دیر سے مرحلے کے مسائل پر ردعمل ایک غیر موثر طریقہ بن گیا ہے، اور امریکی حکومت اشارہ دے رہی ہے۔ وہ دور ختم ہو رہا ہے،" وہ کہتے ہیں۔

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/application-security/xz-utils-scare-exposes-hard-truths-in-software-security