سافٹ ویئر تمام جدید کاروباروں کا مرکز ہے اور آپریشن کے ہر پہلو میں اہم ہے۔ تقریباً ہر کاروبار اوپن سورس سافٹ ویئر استعمال کرے گا، جان بوجھ کر یا بصورت دیگر، چونکہ ملکیتی سافٹ ویئر بھی اوپن سورس لائبریریوں پر منحصر ہے۔ اوپن یو کے 2022 کی "اسٹیٹ آف اوپن" رپورٹ میں پتا چلا ہے کہ 89% کاروبار اوپن سورس سافٹ ویئر پر انحصار کر رہے ہیں، لیکن ان میں سے سبھی ان سافٹ ویئر کی تفصیلات کے بارے میں واضح نہیں ہیں جن پر وہ انحصار کرتے ہیں۔
کاروبار تیزی سے اپنے آپریشن کے اہم سافٹ ویئر کے بارے میں مزید معلومات کا مطالبہ کر رہے ہیں۔ ذمہ دار کاروبار اپنی سافٹ ویئر سپلائی چین میں تفصیلی دلچسپی لے رہے ہیں اور ہر درخواست کے لیے مواد کا سافٹ ویئر بل (SBOM) بنا رہے ہیں۔ معلومات کی یہ سطح بہت اہم ہے تاکہ جب ان کے سافٹ ویئر میں حفاظتی خامیوں کی نشاندہی کی جائے، تو وہ فوری طور پر یقین کر سکتے ہیں کہ کون سے سافٹ ویئر اور ورژن استعمال میں ہیں، اور کون سے سسٹم متاثر ہوئے ہیں۔ ان حالات میں علم ہی طاقت ہے!
رضاکاروں پر انحصار
2021 کے اواخر میں، سیکیورٹی کے خطرے کو بلایا گیا۔ لاگ 4 شیل بڑے پیمانے پر استعمال ہونے والے جاوا لاگنگ فریم ورک، Log4j میں شناخت کی گئی تھی۔ چونکہ یہ ایک وسیع پیمانے پر استعمال ہونے والی، اوپن سورس لائبریری ہے، اس لیے خطرے کی اچھی طرح تشہیر کی گئی تھی، اور اصلاح کی توقع تھی۔ تاہم، کے منصوبے کے دیکھ بھال کرنے والے رضاکار تھے۔. ان کے پاس دن کی ملازمتیں تھیں اور وہ فوری حفاظتی اصلاحات کے لیے کال پر نہیں تھے، چاہے بڑی تعداد میں سسٹمز متاثر ہوں۔ صرف اس خطرے کا اندازہ لگایا گیا تھا کہ 93% انٹرپرائز کلاؤڈ ماحول کو متاثر کیا ہے۔
اس وقت، اوپن سورس کے بارے میں کچھ منفی پریس تھا، لیکن سچ یہ ہے کہ اگر یہ بند سورس کا جزو ہوتا، تو اس خطرے کا عوامی طور پر کبھی پتہ نہیں چل سکتا تھا، جس سے تنظیمیں حملے کے لیے کھلی رہ جاتی تھیں۔ لائبریری کی اوپن سورس نوعیت کا مطلب یہ تھا کہ اس کا معائنہ کیا جا سکتا ہے، مسائل پائے جاتے ہیں، اور دوسروں کی طرف سے پیش کردہ مشورے۔ تو، ہاں، دیکھ بھال کرنے والے اپنے رضاکارانہ منصوبے میں سیکیورٹی کے مسائل کے لیے کال پر نہیں تھے۔ پھر، بڑا سوال یہ ہے کہ: ہم ایسی صورتحال میں کیسے پہنچے جہاں بڑی کمپنیاں ایسے سافٹ ویئر پر منحصر تھیں جو کسی ایسے شخص کی ذمہ داری تھی جو اپنے بلوں کی ادائیگی کے لیے کچھ اور کرتا ہے؟
سافٹ ویئر پر انحصار کو نظر انداز کرنا ایک پرخطر کاروبار ہے جو سافٹ ویئر کا لائسنس ہو، لیکن جب یہ اوپن سورس ہو اور بہت وسیع پیمانے پر استعمال ہو تو یہ خاص طور پر خطرناک ہو جاتا ہے۔ ایک کمزوری کی کہانی پر قائم رہنا؛ یہ مسئلہ کوڈ بیس میں برسوں سے موجود تھا، لیکن نظر نہیں آیا۔ وہ ٹول جو اتنے بڑے پیمانے پر استعمال کیا گیا تھا، درحقیقت، اتنے وسیع پیمانے پر تعاون یافتہ نہیں تھا — اور آگے جو ہوا وہ تاریخ ہے۔.
اس کہانی کو بار بار دہرایا جاتا ہے، بہت سارے کاروباروں میں جن پر اہم انحصار ہوتا ہے لیکن وہ خود دیکھ بھال کرنے والوں یا پروجیکٹس کی مدد کے لیے کوئی کارروائی نہیں کرتے۔ کاروبار کے ذریعے استعمال کیے جانے والے سافٹ ویئر کے لیے SBOM ہونے کا مطلب ہے کہ ان کے پاس معلومات موجود ہیں۔ ان تنظیموں کے لیے جو دوسروں کو سافٹ ویئر فراہم کرتی ہیں، کوڈ کے ساتھ ساتھ SBOM کی فراہمی کی توقع تیزی سے معمول بن رہی ہے۔
خطرے کا اندازہ لگانے کے لیے انحصار جانیں۔
انحصار کا علم لانا ہر ایک سے وابستہ خطرے کا اندازہ لگانا آسان بناتا ہے۔ یہ اوپن سورس پروجیکٹس کا اندازہ لگانے کے لیے سب سے آسان ہیں: کیا مسائل کا جواب دیا گیا ہے، اور کیا حال ہی میں کوئی ریلیز ہوئی ہے؟ ہر پروجیکٹ کے مینٹینرز اور پروجیکٹ کی سرگرمی کو دیکھنے کے قابل ہونا پروجیکٹ کی صحت کے بارے میں اچھی بصیرت فراہم کرتا ہے۔
کاروبار ان منصوبوں کی حمایت کر کے خطرات کو کم کرنے کے لیے اپنا کردار ادا کر سکتے ہیں جن پر وہ انحصار کرتے ہیں۔ کچھ پروجیکٹس براہ راست گٹ ہب اسپانسرز اسکیم کے ذریعے اسپانسرشپ کو قبول کرتے ہیں، دوسرے اس کے بجائے ہوسٹنگ یا سیکیورٹی آڈٹ کی پیشکشوں کی تعریف کرتے ہیں۔ ہر اوپن سورس پروجیکٹ شراکت کی تعریف کرتا ہے۔ اگر آپ کے کاروبار نے یہ لائبریری خود بنائی ہوتی تو کمپنی کے اندر موجود انجینئرز کو خود ہی ہر بگ کو ٹھیک کرنا پڑتا۔
اوپن سورس ایک مشترکہ ملکیت کی اسکیم کی طرح ہے۔ ہم سب کو ایک ہی چیز کو بار بار بنانے کی ضرورت نہیں ہے، بلکہ اپنا حصہ ڈال سکتے ہیں، جو کم محنت اور نتیجہ کے طور پر بہتر معیار کی طرف لے جاتا ہے۔ سب سے زیادہ مؤثر چیزوں میں سے ایک جو کاروبار کر سکتے ہیں وہ ہے اپنے انجینئرنگ کے وسائل کا تھوڑا سا استعمال اور پروجیکٹس میں بگ فکسز یا فیچرز میں تعاون کریں۔ جو کاروبار کے لیے بہت اہم ہیں۔
اپنے انجینئرز کو کسی پروجیکٹ میں شامل رکھنا بہت سے فوائد ہیں. وہ اسے جان لیتے ہیں اور نئی خصوصیات پر نظر رکھ سکتے ہیں، یا جب کوئی نئی ریلیز دستیاب ہوتی ہے۔ اہم طور پر، کاروبار کو منحصر پروجیکٹ کی صحت اور حیثیت کے بارے میں بصیرت حاصل ہے اور یہ اس چیز کا حصہ ہے جو اسے صحت مند رکھتا ہے، انحصار کے ساتھ کسی مسئلے کے کاروبار کے خطرے کو کم کرتا ہے۔ Aiven سمیت متعدد تنظیموں کے پاس OSPO (اوپن سورس پروگرام آفس) ہے، جس کا عملہ تنظیم کے زیر استعمال پروجیکٹس میں حصہ ڈالنے یا ان کی دیکھ بھال کے لیے وقف ہے۔ یہ شعبے اکثر اوپن سورس ایکو سسٹم میں کمپنی کی عمومی موجودگی میں حصہ ڈالتے ہیں اور دوسرے ملازمین کو اوپن سورس کے ساتھ مشغول ہونے کے قابل بناتے ہیں۔
ایک اور طریقہ ان تنظیموں کی حمایت کرنا ہے جو اوپن سورس کی حمایت کے لیے موجود ہیں۔ دی اوپن ایس ایس ایف (اوپن سورس سیکیورٹی فاؤنڈیشن) اوپن سورس پروجیکٹس کی سیکیورٹی کو بہتر بنانے کے لیے کام کرتا ہے اور ان پراجیکٹس پر انحصار کرنے والی تنظیموں کی طرف سے فنڈز فراہم کیے جاتے ہیں۔ یہ سیکھنے کے بہترین وسائل بھی شائع کرتا ہے تاکہ کاروبار اپنے استعمال کردہ سافٹ ویئر کے خطرات کے بارے میں خود کو آگاہ کر سکیں۔ اسی طرح کی ایک اور تنظیم ہے۔ ٹائیڈ لفٹجو کہ بعض بنیادی تقاضوں کو پورا کرنے کو یقینی بنانے کے لیے دیکھ بھال کرنے والوں کے ساتھ شراکت کرتا ہے، پھر سے تنظیموں کی طرف سے مالی اعانت فراہم کی جاتی ہے۔ Tidelift کاروباروں کو ان کے سافٹ ویئر سپلائی چین کو منظم کرنے اور اس علاقے میں بہترین طریقوں کو اپنانے میں مدد کرنے کے لیے ٹولنگ اور تعلیم بھی فراہم کرتی ہے۔
ایک محفوظ سافٹ ویئر کا مستقبل محفوظ کرنا
کاروبار سافٹ ویئر پر انحصار کرتے ہیں، اور اس میں اوپن سورس سافٹ ویئر شامل ہے، جو وسیع پیمانے پر استعمال ہوتا ہے اور عام طور پر ملکیتی متبادلات سے زیادہ محفوظ ہوتا ہے۔
یہ ایک ہوشیار اقدام ہے، لیکن اس سے بھی بہتر اقدام سافٹ ویئر سپلائی چین اور اس کے انحصار کے بارے میں واضح معلومات حاصل کرنا ہے۔ جب کوئی مسئلہ پیدا ہوتا ہے، صحت مند منصوبوں پر منحصر ہے اور آپ کے سافٹ ویئر کی تفصیلات دستیاب ہونا ہر تنظیم کی مدد کرتا ہے۔ اگر ہر تنظیم نے ایسا کیا، تو Log4Shell کے خطرے جیسے واقعات ہونے کا خطرہ کم ہو جاتا ہے۔
