لا تنس البرامج مفتوحة المصدر (OSS) عند تقييم أمان التطبيقات السحابية
تحقق من جميع الجلسات عند الطلب من قمة الأمن الذكي هنا.
عملية تطوير البرمجيات تزداد سرعة. تتعرض فرق Devops لضغوط متزايدة للذهاب إلى السوق ، وهم قادرون على العمل بسرعة ، ويرجع الفضل في ذلك جزئيًا إلى حزم البرامج مفتوحة المصدر (OSS).
أصبحت OSS منتشرة جدًا لدرجة أنه من المقدر أنها تضم 80 إلى 90٪ من أي جزء معين من البرامج الحديثة. ولكن على الرغم من أنها كانت مسرعًا رائعًا لتطوير البرامج ، إلا أن OSS تخلق مساحة سطح كبيرة تحتاج إلى الحماية نظرًا لوجود الملايين من الحزم التي تم إنشاؤها بشكل مجهول والتي يستخدمها المطورون لبناء البرامج.
يعمل معظم مطوري البرامج مفتوحة المصدر بحسن نية ؛ إنهم مهتمون بجعل الحياة أسهل للمطورين الآخرين الذين قد يواجهون نفس التحدي الذي يتطلعون إلى حله. إنها وظيفة غير مجدية لأنه لا توجد فائدة مالية لنشر حزمة OSS والكثير من ردود الفعل في سلاسل التعليقات. وفقًا لاستطلاع مفتوح المصدر من GitHub ، “السلوك السيئ الأكثر شيوعًا هو الوقاحة (45٪ شهدوا ، 16٪ خبرة) ، يليه نداء الأسماء (20٪ شهدوا ، 5٪ خبرة) والقوالب النمطية (11٪ شهدوا ، 3٪ خبرة) . “
لسوء الحظ ، لا يمكن الوثوق بكل حزمة OSS. من الصعب تتبع الإسناد للتغييرات التي تم إجراؤها على التعليمات البرمجية مفتوحة المصدر ، لذلك يصبح من المستحيل تقريبًا تحديد الجهات الخبيثة التي تريد المساس بسلامة الشفرة. تم إدراج حزم البرمجيات الخبيثة مفتوحة المصدر للتأكيد على أن الشركات الكبرى تستخدم هذه الحزم ولكنها لا تمول تطويرها ، وفي أوقات أخرى لأسباب خبيثة بحتة.
حدث
قمة أمنية ذكية عند الطلب
تعرف على الدور الحاسم للذكاء الاصطناعي وتعلم الآلة في الأمن السيبراني ودراسات الحالة الخاصة بالصناعة. شاهد الجلسات عند الطلب اليوم.
مشاهدة هنا
إذا تم استخدام حزمة OSS لبناء برنامج وكانت بها ثغرة أمنية ، فإن هذا البرنامج لديه الآن ثغرة أمنية أيضًا. يمكن أن تعرض ثغرة الباب الخلفي للخطر ملايين التطبيقات ، كما رأينا مع Log4j العام الماضي. وفقًا لتقرير OpenLogic’s State of Open Source Report ، زادت 77٪ من المؤسسات من استخدام برمجيات المصدر المفتوح العام الماضي ، وأفاد 36٪ أن الزيادة كانت كبيرة. لكن الأبحاث التي أجرتها مؤسسة Linux تُظهر أن 49٪ فقط من المؤسسات لديها سياسة أمان تغطي تطوير أو استخدام برمجيات المصدر المفتوح.
إذن كيف يمكنك فهم المخاطر التي تشكلها OSS على تطوير تطبيقك السحابي بشكل أفضل والعمل على تخفيفها؟
احصل على الرؤية
تتمثل الخطوة الأولى في فهم نوع التهديد الذي تواجهه في فهم مساحة سطح التطبيق الخاص بك. قم ببناء الأتمتة في تدابير الأمن السيبراني الخاصة بك لاكتساب رؤية حول حزم OSS والإصدارات التي يتم استخدامها في برنامجك. من خلال البدء في وقت مبكر مثل بيئة التطوير المتكاملة (IDE) ، يمكنك ملاءمة هذه الممارسة في سير عمل المطورين لديك ، بحيث لا يتم إبطائهم.
ضع في اعتبارك أيضًا البنية التحتية كرمز (IaC) ، مثل Terraform. هل أنت على علم بجميع الوحدات التي تستخدمها؟ إذا قام شخص آخر ببنائها ، فهل يلتزم بضوابط الأمان الخاصة بك؟
بمجرد فهم نطاق استخدام OSS الخاص بك ، يمكنك البدء ببطء في السيطرة. ستحتاج إلى إيجاد توازن بين الإشراف وحرية وسرعة المطورين.
حفر في البرامج مفتوحة المصدر
معيار الصناعة هو مستويات سلسلة التوريد لأعمال البرمجيات (SLSA) ، وهو إطار من المعايير والضوابط التي تهدف إلى “منع العبث وتحسين النزاهة وتأمين الحزم والبنية التحتية في مشاريعك”. هناك بعض الأدوات التي يمكنك استخدامها لتحسين SLSA لتحديد ما إذا كانت حزمة OSS بها مشكلات معروفة قبل أن يبدأ المطورون في استخدامها.
من هناك ، يجب عليك إما إنشاء “قائمة السماح” بالمصادر الموثوقة ورفض جميع المصادر الأخرى ، أو على الأقل تدقيق الحالات حيث يتم استخدام المصادر غير الموجودة في “قائمة السماح”. يمكن أن يساعد تحليل التركيب مثل التحليل الذي أصدرته مؤسسة Open Source Security Foundation (OpenSSF) في تحديد الشكل الذي يجب أن تبدو عليه “قائمة السماح”.
لقد دخل عمالقة التكنولوجيا في أمان البرامج مفتوحة المصدر أيضًا ، مع الأخذ في الاعتبار أنهم يستخدمون هذه الحزم أيضًا. تعهدت Google بمبلغ 100 مليون دولار “لدعم مؤسسات الجهات الخارجية ، مثل OpenSSF ، التي تدير أولويات أمان المصدر المفتوح وتساعد في إصلاح الثغرات الأمنية”. كما أن لديها برنامج bug bounty الذي يضعه على أنه “برنامج مكافأة” ، لتعويض الباحثين الذين يعثرون على أخطاء في حزم OSS.
تتضمن مبادرة منفصلة برئاسة أمازون ومايكروسوفت وجوجل 10 ملايين دولار لتعزيز أمن البرمجيات مفتوحة المصدر ، ولكن هذا يمثل 0.001٪ من عائدات الشركات المجمعة لعام 2021. في حين أنه جهد مثير للإعجاب وهام ، إلا أنه يمثل قطرة في بحر مقارنة بنطاق المشكلة.
زيادة التوعية
هناك حاجة إلى استثمارات أكبر من عمالقة التكنولوجيا الذين يعتمدون على برمجيات المصدر المفتوح وابتكاراتها المستمرة ، لكننا نحتاج أيضًا إلى مزيد من المشاركة المجتمعية والتعليم.
تفيد حزم OSS الفائدة الأكبر للمطورين ، ويشجع المشهد على إخفاء هوية مؤلفي الأكواد هؤلاء. إذن ، إلى أين نتجه من هنا في إعطاء الأولوية للأمن؟
يعد تدريب المطورين على مستوى الجامعة على المخاطر المحتملة المرتبطة بإضافة حزم OSS بشكل أعمى إلى كود البرنامج مكانًا جيدًا للبدء. يجب أن يستمر هذا التدريب على المستوى المهني حتى تتمكن المؤسسات من حماية نفسها من التهديدات التي تقوم أحيانًا بتصفية هذه الحزم ، وفي جميع الاحتمالات ، برامجها أيضًا.
الاعتماد على مؤسسات مثل Cloud Native Computing Foundation (CNCF) ، التي رسمت بعضًا من أفضل المشاريع مفتوحة المصدر ، تقدم أيضًا أساسًا جيدًا.
تعد حزم البرامج مفتوحة المصدر عنصرًا حيويًا في زيادة سرعة تطوير التطبيقات ، لكننا بحاجة إلى إيلاء اهتمام أفضل لما بداخلها للحد من مخاطرها ودرء الهجمات الإلكترونية.
أكاش شاه هو مؤسس مشارك ورئيس قسم التكنولوجيا في oak9.
صانعي القرار
مرحبًا بك في مجتمع VentureBeat!
DataDecisionMakers هو المكان الذي يمكن للخبراء ، بما في ذلك الأشخاص الفنيون الذين يقومون بعمل البيانات ، مشاركة الأفكار والابتكارات المتعلقة بالبيانات.
إذا كنت تريد أن تقرأ عن الأفكار المتطورة والمعلومات المحدثة ، وأفضل الممارسات ، ومستقبل البيانات وتكنولوجيا البيانات ، انضم إلينا في DataDecisionMakers.
يمكنك حتى التفكير في المساهمة بمقال خاص بك!
قراءة المزيد من DataDecisionMakers