إغلاق المورد المفتوح: تبديد الخيال
نشرت: 2022-03-31
متابعة الكشف عن الثغرات الأمنية Log4j في ديسمبر 2021 والظرف الجديد لمطور يخرب مكتبات جافا سكريبت الخاصة به - 'color.js' & 'faker.js' ، تم استدعاء حالة برامج الكمبيوتر مفتوحة المصدر إلى مشكلة.
من خلال اجتماع رفيع المستوى في White Property حول المصادر المفتوحة ، والأوامر الحكومية من الرئيس الأمريكي بايدن ، دعا البعض إلى أنه "نتيجة فتح المورد". في حين أنه قد يكون من المغري التحقق من ثغرة أمنية كبيرة كإشارة على استمرار نقص العرض بشكل ما ، إلا أن الحقيقة تكمن في ذلك بشكل كبير.
البرمجيات مفتوحة المصدر ليست أكثر ولا أقل أمانًا من حزمة برامج الأعمال. في الواقع ، من المحتمل أن تتميز معظم برامج الكمبيوتر الاحترافية بأنظمة مفتوحة المصدر أو تعمل على أنظمة مفتوحة المصدر. يشير العرض المفتوح فقط إلى أن البرنامج قد تمت صياغته بطريقة يتم فيها الوصول إلى رمز التوريد تمامًا لأي فرد يرغب في ذلك.
ما كنا نشاهده مع استجابة Log4j من فريق Apache Log4j هو بالضبط ما نأمل أن نراه - فريق يأخذ حزمة البرامج التي يطورونها على محمل الجد ويستجيب حاليًا لرغبات المؤسسة التي تم إنشاؤها. بالنظر إلى أنهم متطوعون ، فإن هذا النوع من الاستجابة يدل على متعة الملكية التي نراها كثيرًا داخل مجتمعات الموارد المفتوحة.
إلى حد ما بدلاً من التحريض على إغلاق المصدر المفتوح ، من المرجح أن تؤدي حادثة مثل Log4j إلى تعزيز تحسين المصدر المفتوح ككل - كثيرًا بالطريقة نفسها التي عززت بها Heartbleed طرق التقدم لمجموعتي نمو المصدر المفتوح والمغلق. لذا ، إذا تم إدراج المصدر المفتوح هنا للاستمرار ، فما الذي يجب أن تقوم به المنظمات في النقل إلى الأمام لاكتشاف الثغرات الأمنية والتخفيف من حدتها بشكل أكثر كفاءة؟
معالجة حماية برامج الكمبيوتر من المستوى التنظيمي
بشكل مثالي ، تتطلب منا استراتيجية تحديد نقاط الضعف والتخفيف من حدتها تحديد بعض الأدوار مقدمًا. يأمل معظم الأفراد في أن يقوم موردو حزم البرامج الخاصة بهم - أي الأشخاص الذين يطورون برامج الكمبيوتر التي يعتمدون عليها - بفحص تلك البرامج. ستكون النتيجة النهائية لهذا الاختبار هي إثبات النتائج التي تسلط الضوء على نقاط الضعف في البرنامج الذي يوفره المورد. في عالم رائع بأكمله ، سيتم حل كل نقاط الضعف هذه قبل شحن البرنامج وتسليمه.
في الكوكب الأصلي ، على الرغم من ذلك ، سيتم تحديد بعض نقاط الضعف هذه مسبقًا ، وسيتم وضع علامة على بعضها على أنه "لا يوجد برنامج لإصلاحه" وسيتم إصلاح البعض بشكل متفائل على المدى الطويل. ما هي قائمة نقاط الضعف ، وأي منها انتهى ، ليس شيئًا صغيرًا يفصح عنه مقدم الخدمة عادةً. علاوة على ذلك ، لا توجد أداة واحدة يمكنها اكتشاف جميع نقاط الضعف ، والبعض الآخر يقوم بالمهمة فقط إذا كان لديك رمز المورد ، على الرغم من أن أشخاصًا آخرين يطلبون برنامجًا قيد التشغيل.
ستلاحظ أنه لم يتم ذكر كلمة "قابلية التأثر" في هذا ، حيث تحتوي على دلالة محددة وأساسية. في التطبيق ، الثغرة هي مجرد نقطة ضعف يمكن استغلالها أو لديها فرصة واقعية للاستغلال.
يتم الكشف عن معظم الثغرات وليس كلها من خلال إجراء مركزي معترف به على أنه قواعد بيانات الضعف على الصعيد الوطني ، أو NVD فقط. على الرغم من أن NVD له جذور في الولايات المتحدة ، وتهتم به السلطات الأمريكية ، فإن محتويات NVD متاحة للجميع ويتم نسخها في مواقع دولية متعددة. من وجهة نظر الحوكمة ، يعد التحقق من التحسينات في محتويات NVD طريقة ممتازة للاحتفاظ بأفضل عمليات الكشف عن الثغرات الأمنية الجديدة.
تكمن المشكلة في أن تحديثات NVD أبطأ من التغطية الإعلامية ، لذلك مع نقاط الضعف الرئيسية مثل Log4Shell و HeartBleed و Dirty Cow ، يمكن للقوى العاملة التي تكتشف الثغرة أن تصنع عنوانًا للثغرة الأمنية في جهد لتوسيع الوعي بالصعوبة. إن وضع خطة حوكمة تقوم بفحص وسائل الإعلام لحماية هذه التجمعات الإلكترونية ليس بالتأكيد ممارسة رائعة.
إذا كانت التغطية الإعلامية كمدخل لإدارة الثغرات فكرة سيئة ، وكان NVD تدريجيًا بعض الشيء لتقديم جميع الحقائق ، فما هي سياسة الحوكمة الأكثر فاعلية إذن؟ سيأتي ذلك من أحد أشكال أداة الأمان المعروفة باسم "تحليل تكوين البرامج" أو SCA. يبدو أن برنامج SCA موجود في الكود المصدري لأحد التطبيقات ، أو في الملف القابل للتنفيذ أو المكتبات التي تحدد التطبيق ، ويحاول اكتشاف المكتبات مفتوحة المصدر التي تم توظيفها لبناء هذا البرنامج.
تُعرف قائمة مكتبات هؤلاء الأشخاص باسم SBOM ، أو قائمة مواد برامج الكمبيوتر. بافتراض أن تطبيق SCA يؤدي وظيفته بشكل فعال ، فيمكن عندئذٍ وضع سياسة حوكمة ترسم تفاصيل NVD إلى SBOM حتى تعرف ما يجب تصحيحه ... إلا أنه لا يزال هناك مع ذلك حقائق NVD الكامنة التي يجب أخذها في الاعتبار.
توضح بعض أدوات SCA الأكثر تفوقًا هذا التحدي من خلال إنشاء تحذيرات تنبه العملاء بشكل استباقي عند وجود إدخال NVD معلق ولكن يتم فيه زيادة تفاصيل إدخال NVD هذا بواسطة بائع SCA. تكرس بعض أكثر المعدات حداثة أيضًا في فحص أو التحقق من أنواع برامج الكمبيوتر التي تتأثر بالكشف عن الثغرات الأمنية.
ومع ذلك ، على الرغم من أن برنامج SCA يمكن أن يسد الفجوة بين الكشف وتحديد الهوية ، إلا أنه يجب ملاحظة أنه يحتوي على قيود أساسية. إذا لم يقم برنامج SCA بفحص جميع البرامج الخاصة بك ، ففي أفضل الأحوال يمكنه فقط تحديد الكشف عن ثغرات أمنية جديدة لمجموعة فرعية من برامجك.
من وجهة نظر تغطية الحوكمة ، يتم تشغيل تكنولوجيا المعلومات لإنشاء جميع البرامج ووظائف الشراء للتأكد من أن جميع التطبيقات ، مثل التحديثات والتنزيلات المجانية ، تظهر تحت SBOM وأنه تم التحقق من صحة تطبيق SBOM برنامج SCA. نظرًا لأن البرنامج متاح في كل من التنسيقات المصدر والثنائية ، فمن المهم أن تختار فرق الحوكمة المتوجهة إلى هذا المسار برنامج SCA الذي يمكنه تنفيذ برامج الكمبيوتر بشكل فعال في جميع الأنواع والتنسيقات. ستساعد هذه الأنواع من خطط الحوكمة في تحديد الكشف عن نقاط الضعف الجديدة وتأثيرها على مؤسسة الأعمال ، ولكنها ستخرج من إحداث فرق في التخفيف المنتج إلى سياسة فريدة ، نظرًا لأن التخفيف سيتطلب اختبار البرامج.
إن التأكد من أمان الهندسة الخاصة به هو مجرد نقطة واحدة ، ولكن أناقة المورد المفتوح تكمن في أنه مصمم ليكون تعاونيًا.
لإعادة صياغة صياغة أبراهام لنكولن ، فإن فتح الموارد هو معرفة الناس ، من قبل الأفراد والأفراد. بدأت الحركة العصرية مفتوحة المصدر على المبدأ الأساسي الذي مفاده أنه إذا لم تعجبك الطريقة التي تعمل بها الشفرة ، فأنت حر في تعديلها ومعالجتها بغض النظر عن الثغرات في الوظائف التي انتهى بها الأمر إلى وجودها.
يتمثل عنصر الصعوبة التي نواجهها هذه الأيام في الشعور بأن المستهلكين أو المستخدمين النهائيين لمشاريع مفتوحة المصدر يتصرفون كما لو كان تحدي العرض المفتوح هو بائع تطبيقات أعمال.
إذا ظهرت في قائمة التحديات لأي مورد مفتوح معروف بشكل معقول على GitHub ، فسترى طلبات الوظائف والمراجعات حول متى يمكن حل المشكلات المحددة. مثل هذه القصص والمظالم المتعلقة بإمكانية الخدمة لها توقع ضمني بأن مدير المنتجات على وشك الحصول على طلبات هؤلاء الأشخاص وأنه سيتم إضافتها إلى خريطة الطريق وسيتم إطلاقها في مرحلة ما - كل ذلك بدون تكلفة.
في الواقع ، تشير الثغرات في الوظائف وحتى في الأخطاء المتصورة إلى فرص عدم طلب خدمات خبراء البرمجة المجانية ولكن كبديل للمساهمة في الإنجازات طويلة المدى للشفرة التي تعد بالغة الأهمية للشخص الذي يشتكي.
بالطبع ، لن يعرف بعض الأشخاص لغة البرمجة التي يستخدمها المشروع ، ولكن توقع أن يعطي الأشخاص الآخرون الأولوية لشكوى من طرف ثالث غير معروف أكثر من الاختلافات التي توضح التعقيدات للمساهمين النشطين ليس بالأمر الحقيقي. مثل أي شيء على الإطلاق ، افتح ميزات الموارد من خلال إيثار المساهمين.
لقد استمعنا منذ فترة طويلة إلى المساهمين الرئيسيين لوظائف الموارد المفتوحة المعروفة ، وهي مصدر إزعاج محدد حول الأرباح التي حققتها الشركات الضخمة من استخدام حزمة البرامج الخاصة بهم. في حين أنه من السهل ربط شخص ما بوضع سلطته في مهمة ما فقط للحصول على أرباح ثالثة من المحاولات ، إلا أن الحقيقة هي أنه إذا كان هذا الباش الثالث يستفيد من محاولات القوى العاملة لتطوير الموارد المفتوحة ، فيجب عليهم ذلك أن تساهم في نجاحها على المدى الطويل.
إذا لم يفعلوا ذلك ، فإنهم يديرون الخطر الذي قد لا يتحول فيه الرمز المعني فقط إلى طرق لم يعتمدوا عليها ، ولكن أيضًا عند تحديد مخاوف الحماية وتسويتها ، فقد يكون لديهم تأخيرات في تطبيق إصلاحات الأشخاص. بعد كل شيء ، إذا كانت شركة صغيرة لا تأخذ الوقت الكافي للتفاعل مع الفرق المنتجة لبرامج الكمبيوتر التي تدعم مشروعهم التجاري ، فمن المحتمل أنهم لا يعرفون المكان الذي تنشأ فيه جميع البرامج التي تدعم مشروعهم التجاري ولا يمكنهم التصحيح بشكل موثوق هو - هي.
لا يعد اكتشاف الثغرات الأمنية في العرض المفتوح مشكلة ، لكن اكتشاف عيوب البرنامج التي تمثل نقطة ضعف يمكن استغلالها ، يعد موضوعًا مهمًا. على الرغم من أن حزمة برامج المصدر المفتوح والإمداد المغلق لها إمكانات مكافئة لمشكلات الاستقرار ، إلا أنه من خلال الموارد المفتوحة ، يمكن لأي شخص تحديد كل هذه المشكلات. مع أخذ ذلك في الاعتبار ، يجب على المؤسسات اتخاذ تدابير استباقية - لا تعتمد على حماية الوسائط - لمشاهدة أحدث نقاط الضعف.
بنفس القدر من الأهمية ، يجب أن يؤدوا غرضًا مساهمًا في مهام التوريد المفتوحة التي يكافئون منها ، وإلا فقد يسقطون المصاب في اختلافات غير متوقعة في الكود أو يتأخر في الوعي بالتصحيحات المهمة.
تيم ماكي هو خبير استراتيجي رئيسي في مجال الحماية في سينوبسيس .