اوپن سورس اجزاء میں کمزوریاں — جیسے کہ 10 ماہ قبل Log4j 2.0 میں سامنے آنے والی وسیع خامیاں — نے ڈیٹا سائنسدانوں کو تجزیہ کرنے اور مشین لرننگ ماڈلز کی تخلیق میں اکثر استعمال ہونے والے اوپن سورس کوڈ کا دوبارہ جائزہ لینے پر مجبور کر دیا ہے۔
ڈیٹا سائنس پلیٹ فارم فرم، ایناکونڈا کی ایک رپورٹ کے مطابق، پچھلے سال، سروے شدہ ڈیٹا سائنسدانوں، کاروباری تجزیہ کاروں، اور طلباء میں سے 40 فیصد نے اوپن سورس اجزاء کے استعمال کو کم کیا ہے، جبکہ ایک تہائی مستحکم رہا، اور صرف 7۔ % نے اپنے پروجیکٹس میں مزید اوپن سورس کوڈ کو شامل کیا۔ ایناکونڈا کے مطابق، سروے میں شامل افراد کی اکثریت محکمہ انفارمیشن ٹیکنالوجی (18%) کو رپورٹ نہیں کرتی ہے، لیکن اپنے ڈیٹا سائنس یا ریسرچ اینڈ ڈویلپمنٹ گروپ (47%) کے اندر کام کرتی ہے۔2022 اسٹیٹ آف ڈیٹا سائنس" رپورٹ، گزشتہ ہفتے جاری.
ایناکونڈا کے شریک بانی اور سی ای او پیٹر وانگ کا کہنا ہے کہ اگرچہ سافٹ ویئر ڈویلپرز اور آئی ٹی نے پہلے ہی محفوظ کوڈ کی جانچ شروع کر دی ہے، اوپن سورس سافٹ ویئر میں سیکیورٹی کے حوالے سے خدشات ڈیٹا سائنس کی دنیا کے لیے نسبتاً نیا رجحان ہے۔
"ہم لوگوں کا ایک بہت بڑا حصہ دیکھتے ہیں جو ان تنظیموں میں ہیں جہاں IT نے اوپن سورس اور Python کے ارد گرد ایک بہت سخت کرنسی بنائی ہے،" وہ کہتے ہیں۔ "یہ ماہر ڈویلپر نہیں ہیں۔ … وہ ڈیٹا سائنسدان اور مشین لرننگ لوگ ہیں جو شاید بالکل بھی تجربہ کار ڈویلپر نہیں ہیں، جو بھی وہ اپنا تجزیہ کرنے کے لیے ڈاؤن لوڈ کر سکتے ہیں استعمال کرتے ہیں، اور پھر انہوں نے اسے IT کے حوالے کر دیا۔
اوپن سورس اجزاء کی حفاظت - اور عام طور پر سافٹ ویئر سپلائی چین - پچھلے دو سالوں میں سافٹ ویئر ڈویلپرز، کاروباری اداروں اور قومی حکومتوں کے درمیان بنیادی غور و فکر بن گیا ہے۔ مئی میں، مثال کے طور پر، یو ایس نیشنل انسٹی ٹیوٹ آف اسٹینڈرڈز اینڈ ٹیکنالوجی (NIST) ایڈریس سافٹ ویئر سپلائی چین کے خطرات کے لیے رہنمائی جاری کی۔. اس کے علاوہ، سافٹ ویئر فروشوں کی ایک بڑھتی ہوئی تعداد لینکس فاؤنڈیشن کے اوپن سافٹ ویئر سیکیورٹی فاؤنڈیشن (اوپن ایس ایس ایف) کے ساتھ شامل ہوئے ہیں۔.
مجموعی طور پر، تنظیموں کی حفاظتی کوششوں کی پختگی میں بہتری آئی ہے۔ تقریباً نصف فرموں کے پاس اوپن سورس سیکیورٹی پالیسی موجود ہے، جو سیکیورٹی کی تیاری کے اقدامات میں بہتر کارکردگی کا باعث بنتی ہے، جون کے سروے کے مطابق. اس کے علاوہ، اوپن سورس رسک کو کنٹرول کرنے کی کوششوں میں پچھلے 51 مہینوں میں 12 فیصد اضافہ ہوا ہے، سیکورٹی کی پختگی کے ایک مطالعہ نے کہا 21 ستمبر کو
Synopsys Software Integrity Group کے جنرل مینیجر جیسن شمٹ نے مطالعہ کا اعلان کرتے ہوئے ایک بیان میں کہا کہ "[W] سافٹ ویئر سپلائی چینز پر توجہ دینے کے ساتھ، زیادہ تر انٹرپرائز تنظیمیں ایپلیکیشن سیکیورٹی کے لیے خطرے پر مبنی نقطہ نظر اختیار کر رہی ہیں۔" "اس طرح کا نقطہ نظر تسلیم کرتا ہے کہ سیکورٹی کوڈ بیس تک محدود نہیں ہے؛ اس میں سافٹ ویئر ڈویلپمنٹ کا عمل شامل ہے جہاں سیکیورٹی کے نتائج کو مسلسل بہتر بنانے کے لیے سیکیورٹی کے جائزے اور جانچ 'ہر جگہ شفٹ' ہوتی ہے۔
Devs اوپن سورس کے استعمال کو بڑھاتا ہے۔
دیگر اعداد و شمار کے مطابق، سافٹ ویئر کمپنیاں اوپن سورس کے استعمال میں کسی قسم کی کمی نہیں دیکھ رہی ہیں۔ اس کے بجائے، ترقیاتی تنظیمیں اوپن سورس سافٹ ویئر کی سیکیورٹی کو بہتر بنانے اور اجزاء کے انتخاب میں سیکیورٹی کو بنیادی رہنما کے طور پر استعمال کرنے پر توجہ مرکوز کر رہی ہیں۔
میں "2021 سافٹ ویئر سپلائی چین کی حالت" رپورٹ، مثال کے طور پر، سوناٹائپ نے پایا کہ سرفہرست چار اوپن سورس ماحولیاتی نظام — دی ماون سینٹرل ریپوزٹری (جاوا)، نوڈ. جے ایس (جاوا اسکرپٹ)، پائتھون پیکیج انڈیکس (پائیتھون)، اور نیو گیٹ گیلری (.NET) — میں 37 ملین موجود ہیں۔ اوپن سورس پروجیکٹس اور اجزاء، سال بہ سال 20% کا اضافہ۔ ان اجزاء کی مانگ بھی اسی طرح بڑھ رہی ہے: 2.2 ٹریلین سے زیادہ اجزاء ڈاؤن لوڈ کیے گئے، جو کہ 73 فیصد سالانہ اضافہ ہے۔
Chainguard میں اوپن سورس کی سربراہ ٹریسی مرانڈا کہتی ہیں کہ ڈیٹا سائنس کمیونٹی کی طرف سے اوپن سورس پیکجز سے خود کو ہٹانے کی اطلاع ممکنہ طور پر سیکورٹی کے مسائل کے بارے میں زیادہ بیداری اور ترقی میں اوپن سورس کے اجزاء کو کم کرنے کے بارے میں کم ہونے کا اشارہ ہے۔
جب کہ ڈیٹا سائنس ٹیموں اور ترقیاتی ٹیموں نے سیکیورٹی کے بڑے مسائل پر مختلف ردعمل کا اظہار کیا ہے۔ جیسے Log4j 2.0 - وہ کہتی ہیں کہ کمپنیوں کے پاس ایک اوپن سورس پیکیج سے الگ ہونے کے بجائے ایک مختلف پیکیج کو اپنانے کا بہت کم سہارا ہوتا ہے جس کے دیکھ بھال کرنے والوں نے سیکیورٹی پر زیادہ زور دیا ہے۔
"کمپنیاں اپنی رفتار کو بڑھانے کے طریقے کے طور پر اوپن سورس کا فائدہ اٹھاتی ہیں لہذا اگر وہ واپس اسکیل کر رہی ہیں، تو وہ کس چیز پر واپس جا رہی ہیں؟ گھر میں کوڈ لکھنا؟ تھرڈ پارٹی ورژنز کا استعمال کیا جا رہا ہے؟ مرانڈا کا کہنا ہے کہ، اس کے بجائے، "مجھے لگتا ہے کہ ہم توقع کر سکتے ہیں کہ کمپنیاں ان کے استعمال کردہ اوپن سورس کے معیار کے بارے میں زیادہ سمجھدار ہوں، خاص طور پر حفاظتی خصوصیات سے متعلق۔"
ڈیٹا سائنسدان کیچ اپ کھیل رہے ہیں۔
مختلف سروے میں مختلف سامعین کی وجہ سے دونوں فریقوں کے درمیان رابطہ منقطع ہونے کا امکان ہے۔ ایناکونڈا کے سروے نے ڈیٹا سائنس کے پیشہ ور افراد پر توجہ مرکوز کی، جیسا کہ ان کے جواب دہندگان کے پروگرامنگ زبانوں کے انتخاب سے دیکھا جا سکتا ہے — 58% نے ازگر کا استعمال کیا اور 42% نے SQL استعمال کیا، جبکہ صرف 26% نے جاوا اسکرپٹ کا استعمال کیا۔
سافٹ ویئر ڈویلپر کے جذبات کا ایک بہتر پیمانہ StackOverflow ہے۔2022 ڈویلپر سروے"، جس سے معلوم ہوا کہ 58% لوگ 'کوڈ سیکھ رہے ہیں' Python استعمال کرتے ہیں، صرف 44% پیشہ ور ڈویلپرز اس زبان میں کوڈ کرتے ہیں۔ دوسری طرف، StackOverflow کے سروے کے مطابق، 68% پروفیشنل ڈویلپر JavaScript استعمال کرتے ہیں۔
مزید برآں، جب کہ ڈیٹا سائنس کا پیشہ ورانہ کام کمپنیوں میں بہت زیادہ (87%) اوپن سورس سافٹ ویئر کی اجازت دیتا ہے، تقریباً ایک چوتھائی (26%) ان کے اوپن سورس انتخاب کی آئی ٹی ڈیپارٹمنٹ کی طرف سے کم سے کم نگرانی ہوتی ہے، ایناکونڈا رپورٹ میں کہا گیا ہے۔ مزید 18% کمپنیوں میں، آئی ٹی ڈیپارٹمنٹ صرف دستیاب اوپن سورس اجزاء میں سے تقریباً نصف کی وضاحت کرتا ہے۔
انتہائی اہم پراجیکٹس کے مینٹینرز — جن میں سے سینکڑوں ہیں، اگر ہزاروں نہیں — کو محفوظ انحصار استعمال کرنے، اپنے کوڈ کی جانچ کرنے، اور شراکت داروں کی بھروسے کی توثیق کرنے کی ضرورت ہے۔ دیکھ بھال کرنے والوں کو ایک سیکورٹی سکور کارڈ بھی شائع کرنا چاہیے - گوگل کا تخلیق کردہ اقدام اب اوپن سورس سیکیورٹی فاؤنڈیشن (اوپن ایس ایس ایف) کے زیر انتظام ہے۔جو تقریباً 20 مختلف معیارات پر مبنی کسی پروجیکٹ کو سیکیورٹی گریڈ دیتا ہے۔
مرانڈا کا کہنا ہے کہ اگرچہ بیداری میں اضافہ ہو رہا ہے، لیکن کوئی فوری حل نہیں ہے۔
"حقیقت یہ ہے کہ زیادہ محفوظ اختیارات پہلے موجود نہیں تھے،" وہ کہتی ہیں۔ "حملے کی سطح کو کم کرنے کے لیے غیر ضروری انحصار کو تراشنا سمجھدار ہے، لیکن جب انحصار کا درخت بڑا ہو جائے تو ایسا کرنا مشکل ہے۔"
