تقرير يجد 82٪ من مكونات البرامج مفتوحة المصدر “محفوفة بالمخاطر بطبيعتها”

اليوم ، أصدرت شركة Lineaje لإدارة أمن سلسلة إمداد البرامج تقريرًا جديدًا بعنوان “ماذا يوجد في برنامجك مفتوح المصدر؟” التي وجدت أن 82٪ من مكونات البرامج مفتوحة المصدر “محفوفة بالمخاطر بطبيعتها” بسبب مزيج من الثغرات الأمنية أو مشكلات الأمان أو جودة الكود أو مخاوف تتعلق بقابلية الصيانة.

سلط التقرير الضوء على أنه في حين أن أكثر من 70٪ من البرامج في المؤسسة مفتوحة المصدر ، فإن هذه العناصر غالبًا لا يتم تتبعها أو صيانتها أو تحديثها أو جردها ، مما يترك نقاط ضعف خطيرة في سلسلة توريد البرمجيات ليستغلها الجهات الفاعلة في التهديد.

يأتي هذا بعد أقل من أسبوع من دعوة CISA لبائعي البرامج لاتخاذ إجراءات لتنفيذ عمليات تطوير “آمنة حسب التصميم” لشحن كود آمن “خارج الصندوق”.

وجد Lineaje أيضًا مخاطر كبيرة بين الحلول مفتوحة المصدر المستخدمة على نطاق واسع ، حيث قام بتحليل أفضل 44 مشروعًا شائعًا لمؤسسة Apache Software Foundation واكتشف أن 68 ٪ من التبعيات هي من مشاريع مفتوحة المصدر غير تابعة لمؤسسة Apache Software ، والعديد منها ذات أصل غير شفاف وتحديث الآليات.

قال جافيد حسن ، الرئيس التنفيذي والشريك المؤسس لشركة Lineaje: “من الضروري أن تدرك المؤسسات اليوم أن البرامج مفتوحة المصدر تنطوي على مخاطر ويمكن التلاعب بها ، حتى لو كانت شائعة جدًا أو تم توفيرها بواسطة علامة تجارية معروفة”.

“مع تجميع المزيد من البرامج أكثر مما تم بناؤه ، أصبح من المهم أكثر من أي وقت مضى أن يكون لديك أدوات رسمية لاكتشاف برامج الحمض النووي. قال حسن إن المطورين ليس لديهم رؤية بالأشعة السينية لرؤية داخل مكون برمجي يشتملون عليه ولا معظمهم خبراء أمن في محددات المصادر المفتوحة.

نظرًا لأن 64٪ من جميع نقاط الضعف ليس لديها إصلاحات متاحة حتى الآن ، ولا يمكن تصحيحها ، فإن التقرير يردد دعوة CISA للمنظمات لتكون أكثر استباقية في إدارة مخاطر المصادر المفتوحة. كما توصي أيضًا بأن تقوم المؤسسات بنشر أدوات إدارة سلسلة التوريد التي لديها القدرة على تقييم المخاطر الديناميكية المتأصلة وسلامة التبعيات الفردية والمشاريع.