كيفية جعل البرامج مفتوحة المصدر أكثر أمانًا
في وقت سابق من هذا العام، أدرك أحد مطوري Microsoft أن شخصًا ما قد أدخل بابًا خلفيًا في كود الأداة المساعدة مفتوحة المصدر XZ Utils، والتي تُستخدم في جميع أنظمة تشغيل Linux تقريبًا.
بدأت العملية قبل عامين عندما بدأ شخص يُدعى JiaT75 بالمساهمة في مستودع XZ Utils على GitHub. ووصف أحد خبراء الأمن السيبراني هذا الهجوم بأنه “سيناريو كابوس” و”أفضل هجوم على سلسلة التوريد تم تنفيذه على الإطلاق”.
كان الهجوم، الذي أعقب حوادث أمنية سيبرانية أخرى معروفة تتضمن برامج مفتوحة المصدر مثل Heartbleed وShellshock وLog4j، بمثابة تذكير صارخ آخر بأن البرامج مفتوحة المصدر، نظرًا لمدى انتشارها، يمكن أن تشكل مخاطر أمنية كبيرة.
وفي TechCrunch Disrupt 2024، بوجوميل بالكانسكي، الشريك في Sequoia Capital؛ وآيفا بلاك، رئيسة قسم أمن المصادر المفتوحة في وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية؛ وجلس لويس فيلا، المؤسس المشارك لشركة Tidelift، لمناقشة تحديات تأمين البرمجيات مفتوحة المصدر.
“أود أن أقول أن المصادر المفتوحة ليست مجانية مثل البيتزا. إنه مجاني مثل الجرو. قال بلاك: “إذا أخذته إلى المنزل ولا تطعمه، فسوف يأكل أثاثك وأحذيتك”.
وصف بلكانسكي البرمجيات مفتوحة المصدر بأنها “شريان الحياة للبرمجيات”، مما يجعلها “أساسية ومدمجة في كل شيء”. وأضاف بالكانسكي أن المشكلة تكمن في أن “نموذج الأعمال الخاص بالمصادر المفتوحة لا يزال قيد التنفيذ”.
إذن من الذي يجب أن يعتني بها ويدفع تكاليف تأمينها؟
يقترح فيلا وفريقه في Tidelift نموذجًا تدفع فيه الشركة لمشرفي المصادر المفتوحة لرعاية الكود الخاص بهم وللشركاء لإصلاح نقاط الضعف.
وأوضح بلاك أن CISA تتدخل الآن، وتطلق مبادرات لإخبار الشركات عن أفضل وأسوأ الممارسات الأمنية عندما يتعلق الأمر بنشر البرامج مفتوحة المصدر. قال بلاك، الذي يعتقد أن البرمجيات مفتوحة المصدر هي منفعة عامة: “نحن هنا للمشاركة كعضو في مجتمع المصادر المفتوحة والعمل معهم”.
وفيما يتعلق بكيفية المضي قدمًا، قال بلكانسكي إن “حل أمن المصادر المفتوحة، إلى حد ما على الأقل، يحتاج أيضًا إلى أن يكون مفتوح المصدر”، وحذر من أنه “لا توجد حلول سحرية”.
وقال فيلا أن هناك حاجة إلى “مناهج متعددة” و”دفاع متعمق”، مما يعني أن هناك حاجة إلى عدة طبقات من الأمان لحماية النظام البيئي مفتوح المصدر.
وقال بلاك إن منشئي البرامج بحاجة إلى معرفة البرامج مفتوحة المصدر الموجودة في منتجاتهم. قال بلاك: “نحن بحاجة إلى مشاركة أفضل لتمكين الجميع من القيام بذلك بجهد أقل وعبء أقل على الأفراد المتطوعين المشرفين والمنظمات غير الربحية”.
اكتشاف المزيد من اشراق اون لاين
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.