عادةً ما تحتوي المستودعات مفتوحة المصدر - مثل PyPI PyPI و Maven Java و Node Package Manager (npm) لجافا سكريبت - على طاقم هيكلي من المهندسين والمتطوعين لإدارة وتأمين البنية التحتية. حجم المستخدمين والمشاريع الخبيثة التي يتم إنشاؤها على هذه الأنظمة الأساسية كل يوم سريع تفوق قدرة فرق المراجعة الأمنية لمواكبة.
يعكس التركيز على أمان المستودعات الاهتمام المتزايد الذي حظيت به سلسلة توريد البرامج من المهاجمين ، كما يقول تيم ماكي ، رئيس استراتيجية مخاطر سلسلة التوريد البرمجية في شركة Synopsys لسلامة البرمجيات.
"إذا كنت مهاجمًا ، وأريد أن أذهب وأريد التنازل ، على سبيل المثال ، عن تطبيق JavaScript ، أو تطبيق Python على نطاق واسع ، فإن أفضل طريقة للقيام بذلك هي التحكم بطريقة ما في عناصر ذات مغزى من المستودع ، " هو يقول. "لذلك ، إذا كنت مؤسسة تطوير تستهلك كود Python ، أو Node code ، أو Java code ... فسيكون لدي مستوى من الثقة الضمنية في أن المستودع سيفعل الشيء الصحيح ... وأنه لا يوجد شيء جوهري سبل الهجوم أو الطرق التي يمكن من خلالها خرق الثقة ".
هناك العديد من الجهود الفنية الجارية لتقليل العمل على موظفي البنية التحتية للصيانة والمستودعات. ومع ذلك ، فإن حل هذا التحدي - إبقاء الحزم الضارة والمستخدمين خارج تطبيق البرنامج - يتطلب أكثر من مجرد تقنية.
ضع التكنولوجيا على العلبة
تقوم بطاقة OpenSSF Scorecard (التي تستضيفها مؤسسة Open Software Security Foundation) ، على سبيل المثال ، بإجراء فحوصات آلية مقابل تعليمات برمجية للمطورين ومشاريع مفتوحة المصدر للمساعدة في قياس مخاطر المشرفين الضارين ، والتنازلات في التعليمات البرمجية المصدر أو نظام الإنشاء ، والحزم الضارة.
يقول زاك نيومان ، عالم الأبحاث الرئيسي في Chainguard: "أن تكون متعمدًا حقًا بشأن ما تقوم بربطه بسلسلة التوريد الخاصة بك هو الأفضل - حقًا ، فإن أفضل هجوم هنا هو دفاع جيد". "إن الخروج بسياسة داخل المنظمة للنظر في إشارات محددة في بطاقة قياس الأداء عندما نضيف التبعيات ، على ما أعتقد ، يقطع شوطًا طويلاً."
تقنية أخرى ، sigstore ، تسمح للمطورين والمشرفين على بسهولة التوقيع على التعليمات البرمجية الخاصة بهم للسماح للمستخدم النهائي بالثقة في مصدر الشفرة. يجعل المشروع التوقيع الرقمي للكود المصدري أسهل لأن المطورين الفرديين ليسوا مضطرين لإدارة البنية التحتية للتشفير الخاصة بهم. لدى Python حزمة لمساعدة المطورين على إنشاء توقيعات التعليمات البرمجية والتحقق منها باستخدام sigstore ، ويعمل GitHub أيضًا على خطة لـ المطورين الذين يستخدمون npm لاعتماد sigstore، كذلك.
أضف المزيد من الأشخاص والعملية ، أيضًا
بغض النظر عن مدى جودة الأدوات ، فإن المحصلة النهائية هي: ما تحتاجه مستودعات البرامج حقًا هو المزيد من التمويل والمزيد من المتخصصين في مجال الأمان على الموظفين.
يقول نيومان: "ستسمع اقتراحات لوضع أدوات آلية قيد الإعداد ، بحيث يكون لدينا فقط بعض الماسح الضوئي الذي يفحص جميع الحزم أثناء تحميلها بحثًا عن البرامج الضارة". "تبدو هذه فكرة رائعة ، ولكنها ليست الحل الذي تعتقده تمامًا لأننا نواجه مشكلات مع الإيجابيات الخاطئة ، والتي تحتاج بعد ذلك إلى المراجعة يدويًا ، وفرض عبء تشغيلي ضخم - ولذا فقد عدنا الآن مربع واحد."
أدى التركيز على تأمين سلسلة توريد البرمجيات إلى زيادة الاستثمار من قبل الصناعة في النظام الإيكولوجي مفتوح المصدر. مشروع Alpha-Omega الخاص بـ OpenSSF، التي تهدف إلى تأمين أكثر المشاريع أهمية ، لديها الآن مطور أمان مقيم لمؤسسة Python Software Foundation. كما تبرعت Amazon Web Services إلى PyPI لـ إنشاء دور مهندس الأمن والسلامة.
نظرًا لأن البرمجيات مفتوحة المصدر أصبحت معروفة بشكل واضح على أنها بنية تحتية حيوية ، فقد زاد الاستثمار الحكومي أيضًا. في مارس ، على سبيل المثال ، إدارة بايدن هاريس أعلنت استراتيجيتها الوطنية للأمن السيبراني، التي تسعى إلى تحميل الشركات المسؤولية عن منتجات البرمجيات ، بينما اجتماعات البيت الأبيض السابقة والتوجيهات يهدف إلى زيادة الدعم لتأمين مشاريع مفتوحة المصدر.
المزيد من الهيئات ، وليس بالضرورة المزيد من التكنولوجيا ، ستحل العديد من المشاكل على المدى القصير ، كما يقول ماكي من سينوبسيس.
يقول: "أحد الأشياء التي أحبها في نموذج بايثون هو أن لديهم دورة المراجعة البشرية هناك". "وهذا ، إلى حد ما ، سيحد من نطاق الضرر لبعض هذه الأشياء."
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
- سك المستقبل مع أدرين أشلي. الوصول هنا.
- شراء وبيع الأسهم في شركات ما قبل الاكتتاب مع PREIPO®. الوصول هنا.
- المصدر https://www.darkreading.com/dr-tech/2-lenses-examining-safety-open-source-software
