أخبار التقنية

هل يجب أن تقسم المؤسسات على البرامج مفتوحة المصدر تمامًا؟


تحقق من جميع الجلسات عند الطلب من قمة الأمن الذكي هنا.


البرمجيات مفتوحة المصدر هي كابوس لأمن البيانات. وفقًا لـ Synopsys ، بينما تحتوي 96٪ من البرامج على نوع من مكونات البرامج مفتوحة المصدر ، تحتوي 84٪ من قواعد التعليمات البرمجية على ثغرة أمنية واحدة على الأقل.

لا تظهر هذه الثغرات الأمنية فقط في البرامج الداخلية ، ولكن أيضًا في تطبيقات وخدمات الجهات الخارجية المنتشرة عبر البيئات المحلية والسحابة.

تزايد الوعي بتهديدات سلسلة توريد البرمجيات على مدى السنوات القليلة الماضية ، حيث أصدر الرئيس بايدن أمرًا تنفيذيًا في مايو 2021 يدعو الوكالات الحكومية الفيدرالية إلى إنشاء قائمة مواد برمجية (SBOM) ، لإنتاج قائمة بمكونات البرامج المستخدمة في جميع أنحاء بيئاتهم.

وبالمثل ، فإن الكشف عن أن ثغرة Log4j قد أثرت على 58٪ من المؤسسات أظهر أن المنظمات بحاجة إلى بذل المزيد من الجهد لفحص البرامج التي تستخدمها في بيئاتها.

حدث

قمة أمنية ذكية عند الطلب

تعرف على الدور الحاسم للذكاء الاصطناعي وتعلم الآلة في الأمن السيبراني ودراسات الحالة الخاصة بالصناعة. شاهد الجلسات عند الطلب اليوم.

مشاهدة هنا

في حين أن الاستخدام الواسع النطاق للبرامج مفتوحة المصدر يعني أن المؤسسات لا تستطيع أن تحلف هذه الأدوات تمامًا ، إلا أن هناك بعض الخطوات التي يمكن للمؤسسات اتخاذها للبدء في التخفيف من مخاطر الكشف عن أصول البيانات الهامة.

ما هي المخاطر التي تواجه البرامج مفتوحة المصدر؟

واحدة من أكبر التهديدات التي تواجه البرامج مفتوحة المصدر هي هجمات سلسلة التوريد. في هجوم على سلسلة التوريد ، سوف يستهدف مجرم إلكتروني أو ممثل تهديدي ترعاه الدولة المشرف على مشروع مفتوح المصدر حتى يتمكنوا من تضمين تعليمات برمجية ضارة في مكتبة مفتوحة المصدر وشحنها إلى أي منظمة تقوم بتنزيلها.

أصبح هذا النمط من الهجوم شائعًا بشكل متزايد لدرجة أن الأبحاث تشير إلى أن هناك 742٪ متوسط ​​زيادة سنوية في هجمات سلسلة توريد البرمجيات على مدى السنوات الثلاث الماضية ، مع اكتشاف Sonatype 106.872 حزمة ضارة متاحة عبر الإنترنت.

“من منظور سلسلة التوريد ، من الشائع بشكل متزايد أن ترى كود ضار يتم إدخاله في المصدر المفتوح – ويمكن تحقيق ذلك من خلال تعريض مشروع شرعي للخطر ، أو عن طريق مشروع ضار يهدف إلى إرباك المستخدمين ودفعهم إلى تنزيل رمز مزيف يشبه مشروعًا شائعًا ،” قال ديل غاردنر ، محلل مدير جارتنر الأب.

يقترح غاردنر أن المنظمات التي تعتمد على البرامج مفتوحة المصدر تحتاج إلى تقييم المخاطر التي يمثلها كل مشروع.

“على سبيل المثال ، هل يتمتع المشروع بسجل جيد للاستجابة للمشكلات ، وهل توجد ضوابط الأمان المناسبة ، وهل تم تحديث الكود ، وما إلى ذلك. ومن منظور سلسلة التوريد ، لا يجب أن نهتم فقط بالمصادر المفتوحة – لقد رأينا عددًا من الحالات التي تم فيها اختراق الكود التجاري “، قال جاردنر.

تُعد أطر العمل مثل إطار عمل تطوير البرامج الآمنة (SSDF) ومستويات سلسلة التوريد لأعمال البرمجيات (SLSA) إحدى الطرق التي يمكن للمؤسسات من خلالها تقييم موردي البرامج بحثًا عن نقاط الضعف المحتملة ، لتقييم مخاطر البرامج التي يستخدمونها لبناء تطبيقاتهم الخاصة.

تحديد المخاطر المقبولة في سلسلة التوريد مفتوحة المصدر

هناك طريقة أخرى لإدارة المخاطر عند تنفيذ برنامج مفتوح المصدر وهي تحديد المخاطر المقبولة. يعود ذلك إلى تحديد ما إذا كانت الثغرات الأمنية التي يقدمها تطبيق معين تمثل مستوى مقبولاً من المخاطر ويمكن التحكم فيه.

“المنظمات التي تستخدم البرمجيات مفتوحة المصدر ، والتي هي اليوم كل الأعمال التجارية الرقمية ، تستفيد من تطوير استراتيجية مفتوحة المصدر والتواصل معها. قالت جانيت ورثينجتون ، كبيرة المحللين في شركة Forrester: “توفر الإستراتيجية إرشادات حول متى يمكن استخدام المصدر المفتوح ، وما هي الموافقة المطلوبة وما هو الخطر المقبول للأعمال”.

“ضع خطة في حالة الكشف عن ثغرة أمنية شديدة التأثير. قد يضطر فريق التطوير لديك إلى إعادة إصلاح إصدار المكتبة مفتوحة المصدر التي تعتمد عليها مؤسستك ، “قال ورثينجتون.

يسلط Worthington الضوء على أنه يمكن للمؤسسات البدء في ترميز وقياس المخاطر من خلال إنشاء SBOM والحفاظ على مخزون لجميع البرامج التي تحصل عليها وتنزيلها. بالإضافة إلى ذلك ، يجب على قادة الأمن أيضًا أن يطلبوا من الموردين تقديم وصف لممارسات تطوير البرمجيات الآمنة الخاصة بهم.

عندما يتعلق الأمر بالمكتبات مفتوحة المصدر ، يقترح Worthington أن المنظمات يجب أن تبحث أولاً عن SBOM ؛ إذا لم يكن هناك واحد ، فإن مسحه باستخدام أداة تحليل تكوين البرامج (SCA) يمكن أن يساعد في الكشف عن نقاط الضعف في الكود. يمكنك بعد ذلك معرفة ما إذا كانت التحديثات أو التصحيحات متوفرة لتخفيفها.

ومع ذلك ، إذا اخترت استخدام SCA لفحص المكونات مفتوحة المصدر ، فمن المهم ملاحظة أن الأدوات التي تستخدم مديري الحزم لتحديد الحزم ومسحها ضوئيًا تكون عرضة لحزم البرامج المفقودة ونقاط الضعف.

تجاوز SCAs و SBOMs

أحد التحديات الأساسية لتأمين مكونات البرامج مفتوحة المصدر في المؤسسة هو أنها ليست ثابتة. يمكن للأطراف الخارجية إجراء تغييرات على البرامج مفتوحة المصدر التي ، على الأقل ، تخلق ثغرات أمنية جديدة ، وفي أسوأ الأحوال تخلق تهديدات ضارة نشطة.

بينما تشير ليزا أوكونور ، القائدة العالمية لأبحاث الأمان في شركة Accenture ، إلى أهمية اختبار أمان التطبيقات الثابتة و SBOMs ، فإنها تحذر “نحن بحاجة إلى التعمق أكثر لفهم المخاطر.”

“يعمل باحثون من مختبرات البحث والتطوير الأمنية في Accenture حاليًا على الجيل التالي من إمكانية تتبع SBOM لتحقيق التطور المطلوب ليس فقط لتحديد التهديدات الأمنية ، ولكن لفهم التأثيرات النهائية لوظائف المصادر المفتوحة للثغرات الأمنية على قاعدة التعليمات البرمجية المثبتة الفعلية للمؤسسة ،” قال أوكونور.

تعمل مختبرات البحث والتطوير الأمنية في المنظمة حاليًا جنبًا إلى جنب مع البروفيسور ديفيد بادر من معهد نيوجيرسي للتكنولوجيا (NJIT) ، وهو خبير في الرسوم البيانية والتحليلات المعرفية ، للمساعدة في تحسين كيفية تحديد المؤسسات للمكونات المعرضة للخطر مفتوحة المصدر وعزلها.

يعد فهم المخاطر مع تطور سلسلة إمداد البرامج وتحركاتها هو المفتاح للتخفيف من مخاطر المصادر المفتوحة. تتطلب المخاطر الديناميكية استراتيجية تخفيف مرنة بنفس القدر.

مهمة VentureBeat هو أن تكون ساحة المدينة الرقمية لصناع القرار التقنيين لاكتساب المعرفة حول تكنولوجيا المؤسسات التحويلية والمعاملات. اكتشف إحاطاتنا.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى
karnataka xvideo pornmovieswatch.org sex sagr
bangla chodan xshaker.net download indiansex video
بيرازر meyzo.info افلام دراما سكس
mallu blue film eroanal.net xnxxbest
locel xxx video waplo.info desi kannada sex
chut pics cumporntrends.com tight pussy xvideo
indian kitchen room tubedesiporn.com marwadi girl sex
bengoli xxx movie redwap3.com malayalam blue filim
indian@aloha tube eromoms.net www.pronstarxvidoes
bangla chodachudi pornjob.info meena sexy pics
صورة بنات سكس xxcmh.com فيلم سكس صيني
www desi xx com browntubeporn.com wild ass fuck
www.hot vido 3gpjizz.mobi sunny leone tube 8
funmaza dampxxx.org varun dhawan sex
اغتصاب مصري arabicpornvideo.com دخله براحه
toto togel situs togel toto slot situs toto rtp slot cerutu4d toto slot situs toto bo togel situs togel situs toto situs togel situs togel toto togel pam4d toto togel situs toto situs togel situs toto situs togel toto togel situs togel situs togel bandar toto situs togel bo togel situs toto situs togel situs toto situs togel toto slot pam4d bento4d bento4d bento4d jacktoto jacktoto cerutu4d cerutu4d situs toto situs togel situs toto situs toto situs toto situs togel situs toto bandar togel situs toto situs toto situs toto situs toto situs togel situs togel resmi situs togel situs toto resmi situs togel resmi situs toto toto slot situs toto situs toto situs toto situs togel situs toto situs toto macau bo toto bo toto situs toto toto togel situs toto togel resmi situs toto situs toto situs togel situs togel resmi pengeluaran macau situs toto situs toto situs togel situs togel situs toto situs toto toto slot situs toto situs togel situs toto slot cerutu4d bo toto situs toto situs toto situs toto situs toto macau cerutu4d situs toto situs toto macau bet togel toto togel gimbal4d gimbal4d toto slot situs toto situs toto toto slot situs toto situs toto toto togel situs toto toto slot situs togel situs toto slot live casino toto slot toto togel situs togel situs toto bandar togel bandar togel situs toto bo togel situs toto daftar situs togel situs togel situs toto situs toto situs toto bakautoto situs bandar togel bakautoto situs resmi toto togel bakautoto situs toto togel terpercaya 2024 situs toto situs toto