تحقق من جميع الجلسات عند الطلب من قمة الأمن الذكي هنا.
البرمجيات مفتوحة المصدر هي كابوس لأمن البيانات. وفقًا لـ Synopsys ، بينما تحتوي 96٪ من البرامج على نوع من مكونات البرامج مفتوحة المصدر ، تحتوي 84٪ من قواعد التعليمات البرمجية على ثغرة أمنية واحدة على الأقل.
لا تظهر هذه الثغرات الأمنية فقط في البرامج الداخلية ، ولكن أيضًا في تطبيقات وخدمات الجهات الخارجية المنتشرة عبر البيئات المحلية والسحابة.
تزايد الوعي بتهديدات سلسلة توريد البرمجيات على مدار السنوات القليلة الماضية ، حيث أصدر الرئيس بايدن أمرًا تنفيذيًا في مايو 2021 يدعو الوكالات الحكومية الفيدرالية إلى إنشاء قائمة مواد برمجية (SBOM) ، لإنتاج قائمة بمكونات البرامج المستخدمة في جميع أنحاء بيئاتهم.
وبالمثل ، فإن الكشف عن أن ثغرة Log4j قد أثرت على 58٪ من المؤسسات أظهر أن المنظمات بحاجة إلى بذل المزيد من الجهد لفحص البرامج التي تستخدمها في بيئاتها.
حدث
قمة الأمن الذكي عند الطلب
تعرف على الدور الحاسم للذكاء الاصطناعي وتعلم الآلة في الأمن السيبراني ودراسات الحالة الخاصة بالصناعة. شاهد الجلسات عند الطلب اليوم.
مشاهدة هنا
في حين أن الاستخدام الواسع النطاق للبرامج مفتوحة المصدر يعني أن المؤسسات لا تستطيع أن تحلف هذه الأدوات تمامًا ، إلا أن هناك بعض الخطوات التي يمكن للمؤسسات اتخاذها للبدء في التخفيف من مخاطر الكشف عن أصول البيانات الهامة.
ما هي المخاطر التي تواجه البرامج مفتوحة المصدر؟
واحدة من أكبر التهديدات التي تواجه البرامج مفتوحة المصدر هي هجمات سلسلة التوريد. في هجوم على سلسلة التوريد ، سوف يستهدف مجرم إلكتروني أو ممثل تهديدي ترعاه الدولة المشرف على مشروع مفتوح المصدر حتى يتمكنوا من تضمين تعليمات برمجية ضارة في مكتبة مفتوحة المصدر وشحنها إلى أي منظمة تقوم بتنزيلها.
أصبح هذا النمط من الهجوم شائعًا بشكل متزايد لدرجة أن الأبحاث تشير إلى أن هناك 742٪ متوسط زيادة سنوية في هجمات سلسلة توريد البرمجيات على مدى السنوات الثلاث الماضية ، مع اكتشاف Sonatype 106.872 حزمة ضارة متاحة عبر الإنترنت.
“من منظور سلسلة التوريد ، من الشائع بشكل متزايد أن ترى كود ضار يتم إدخاله في المصدر المفتوح – ويمكن تحقيق ذلك من خلال تعريض مشروع شرعي للخطر ، أو عن طريق مشروع ضار يهدف إلى إرباك المستخدمين ودفعهم إلى تنزيل رمز مزيف يشبه مشروعًا شائعًا ،” قال ديل غاردنر ، محلل مدير جارتنر الأب.
يقترح غاردنر أن المنظمات التي تعتمد على البرامج مفتوحة المصدر تحتاج إلى تقييم المخاطر التي يمثلها كل مشروع.
“على سبيل المثال ، هل يتمتع المشروع بسجل جيد للاستجابة للمشكلات ، وهل توجد ضوابط الأمان المناسبة ، وهل تم تحديث الكود ، وما إلى ذلك. ومن منظور سلسلة التوريد ، لا ينبغي أن نهتم فقط بالمصدر المفتوح – لقد رأينا عددًا من الحالات التي تم فيها اختراق الكود التجاري ، “قال غاردنر.
تُعد أطر العمل مثل إطار عمل تطوير البرامج الآمنة (SSDF) ومستويات سلسلة التوريد لأعمال البرمجيات (SLSA) إحدى الطرق التي يمكن للمؤسسات من خلالها تقييم موردي البرامج بحثًا عن نقاط الضعف المحتملة ، لتقييم مخاطر البرامج التي يستخدمونها لبناء تطبيقاتهم الخاصة.
تحديد المخاطر المقبولة في سلسلة التوريد مفتوحة المصدر
هناك طريقة أخرى لإدارة المخاطر عند تنفيذ برنامج مفتوح المصدر وهي تحديد المخاطر المقبولة. يعود ذلك إلى تحديد ما إذا كانت الثغرات الأمنية التي يقدمها تطبيق معين تمثل مستوى مقبولاً من المخاطر ويمكن التحكم فيه.
“المنظمات التي تستخدم البرمجيات مفتوحة المصدر ، والتي هي اليوم كل الأعمال التجارية الرقمية ، تستفيد من تطوير استراتيجية مفتوحة المصدر والتواصل معها. قالت جانيت ورثينجتون ، كبيرة المحللين في شركة Forrester: “توفر الإستراتيجية إرشادات حول متى يمكن استخدام المصدر المفتوح ، وما هي الموافقة المطلوبة وما هو الخطر المقبول للأعمال”.
“ضع خطة في حالة الكشف عن ثغرة أمنية شديدة التأثير. قد يضطر فريق التطوير لديك إلى إعادة إصلاح إصدار المكتبة مفتوحة المصدر التي تعتمد عليها مؤسستك ، “قال ورثينجتون.
يسلط Worthington الضوء على أنه يمكن للمؤسسات البدء في تقنين وقياس المخاطر من خلال إنشاء SBOM والحفاظ على مخزون لجميع البرامج التي يحصلون عليها وتنزيلها. بالإضافة إلى ذلك ، يجب على قادة الأمن أيضًا أن يطلبوا من الموردين تقديم وصف لممارسات تطوير البرمجيات الآمنة الخاصة بهم.
عندما يتعلق الأمر بالمكتبات مفتوحة المصدر ، يقترح Worthington أن المنظمات يجب أن تبحث أولاً عن SBOM ؛ إذا لم يكن هناك واحد ، فإن مسحه باستخدام أداة تحليل تكوين البرامج (SCA) يمكن أن يساعد في الكشف عن نقاط الضعف في الكود. يمكنك بعد ذلك معرفة ما إذا كانت التحديثات أو التصحيحات متوفرة لتخفيفها.
ومع ذلك ، إذا اخترت استخدام SCA لفحص المكونات مفتوحة المصدر ، فمن المهم ملاحظة أن الأدوات التي تستخدم مديري الحزم لتحديد وفحص الحزم تكون عرضة لفقدان حزم البرامج ونقاط الضعف.
تجاوز SCAs و SBOMs
أحد التحديات الأساسية لتأمين مكونات البرامج مفتوحة المصدر في المؤسسة هو أنها ليست ثابتة. يمكن للأطراف الخارجية إجراء تغييرات على البرامج مفتوحة المصدر التي ، على الأقل ، تخلق ثغرات أمنية جديدة ، وفي أسوأ الأحوال تخلق تهديدات ضارة نشطة.
بينما تشير ليزا أوكونور ، القائدة العالمية لأبحاث الأمان في شركة Accenture ، إلى أهمية اختبار أمان التطبيقات الثابتة و SBOMs ، فإنها تحذر من “أننا بحاجة إلى التعمق أكثر لفهم المخاطر”.
“يعمل باحثون من مختبرات البحث والتطوير الأمنية التابعة لشركة Accenture حاليًا على الجيل التالي من إمكانية تتبع SBOM لتحقيق التطور المطلوب ليس فقط لتحديد التهديدات الأمنية ، ولكن لفهم التأثيرات النهائية لوظائف المصادر المفتوحة للثغرات الأمنية على قاعدة البرنامج المثبتة الفعلية للمؤسسة ،” قال أوكونور.
تعمل مختبرات البحث والتطوير الأمنية في المؤسسة حاليًا جنبًا إلى جنب مع البروفيسور ديفيد بادر من معهد نيو جيرسي للتكنولوجيا (NJIT) ، وهو خبير في الرسوم البيانية والتحليلات المعرفية ، للمساعدة في تحسين كيفية تحديد المؤسسات للمكونات المعرضة للخطر مفتوحة المصدر وعزلها.
يعد فهم المخاطر مع تطور سلسلة إمداد البرامج وتحركاتها هو المفتاح للتخفيف من مخاطر المصادر المفتوحة. تتطلب المخاطر الديناميكية استراتيجية تخفيف مرنة بنفس القدر.
مهمة VentureBeat هو أن تكون ساحة المدينة الرقمية لصناع القرار التقنيين لاكتساب المعرفة حول تكنولوجيا المؤسسات التحويلية والمعاملات. اكتشف إحاطاتنا.
