لماذا يعد برنامج المصدر المفتوح الآمن المدعوم من Google مهمًا للغاية

لماذا يعد برنامج المصدر المفتوح الآمن المدعوم من Google مهمًا للغاية

بقلم

روابط سريعة

تتزايد هجمات سلاسل التوريد بشكل كبير، وتعد المشاريع مفتوحة المصدر أكثر نقاط التسلل شيوعًا. تساعد مؤسسة Linux Foundation، التي ترعاها Google، المشاريع مفتوحة المصدر في حماية نفسها – وكل شخص آخر.




هجمات سلسلة التوريد

حتى وقت قريب جدًا، إذا كنت منخرطًا في مجال الأمن السيبراني ووجدت نفسك تحاول شرح هجمات سلسلة التوريد لشخص ما، فمن المحتمل أنك استخدمت هجوم ستوكسنت كمثال. الآن، لديك أي عدد من الأمثلة للاختيار من بينها.

لقد سمع الجميع عن هجمات Solarwinds وCodecov لأنها كانت هجمات متطورة وحازت على اهتمام كبير ونطاق واسع. لكن هذين المثالين لا يشكلان سوى قطرة في بحر الهجمات من هذا النوع.

إن هجمات سلسلة التوريد تعمل على تسميم البوفيه. فكل من يأكل من البوفيه يستهلك السم. وليس صاحب البوفيه هو المستهدف. بل إن المستهدفين هم كل من تتم دعوته إلى البوفيه. وإذا كان المهاجمون قادرين على اختراق مجموعة أدوات برمجية أو مكتبة تستخدم في العديد من التطبيقات والأنظمة الأخرى، فإنهم بذلك يكونون قد نجحوا في اختراق كل مستخدمي تلك المنتجات الأخرى.


إن المنتجات مفتوحة المصدر ومغلقة المصدر معرضة للخطر. بل إن هناك حالات تم فيها تصنيع أجهزة كمبيوتر محمولة بصور قرص صلب مستنسخة من صورة ذهبية مخترقة، مما أدى إلى إدخال البرامج الضارة مباشرة إلى الأجهزة.

ولكن لأن المشاريع مفتوحة المصدر تتيح للجميع الوصول إلى الكود المصدري والقدرة على تقديم مساهمات للمشروع، فإنها تشكل ناقلاً مثالياً للهجوم من قِبَل مجرمي الإنترنت. ويصبح استهداف المشاريع مفتوحة المصدر أكثر جاذبية مع استمرار استخدام مكوناتها في التزايد. وتستخدم كل مشاريع التطوير غير التافهة تقريباً أصولاً مفتوحة المصدر. وتعتمد البنية الأساسية الرقمية للعالم الحديث على المصادر المفتوحة.

وفقا لتقرير صادر عن سوناتايب لا يزال استخدام البرمجيات مفتوحة المصدر يتسارع. وهذا أمر رائع بالنسبة للبرمجيات مفتوحة المصدر. ولكن ما ليس رائعًا هو الزيادة المصاحبة في هجمات سلسلة التوريد باستخدام البرمجيات مفتوحة المصدر كناقل للهجوم. فقد كانت هناك زيادة بنسبة 650% في هجمات سلسلة التوريد عامًا بعد عام، بما في ذلك ارتباك التبعية، ونسخ الأخطاء المطبعية، وحقن التعليمات البرمجية.


لقد وصفنا سابقًا الخطوات التي يمكنك اتخاذها داخليًا لمحاولة الحد من تعرضك لهجمات سلسلة التوريد، باستخدام أدوات مساعدة مثل 

preflight

لقد قمنا أيضًا بالإبلاغ عن البرامج التي يتم تنفيذها على مستوى الصناعة، مثل برنامج Linux Foundation مبادرة سيجستور والتي يتم تطويرها بشكل مشترك من قبل جوجل، وريد هات، وجامعة بيردو، إنديانا.

ال تأمين المصدر المفتوح البرنامج عبارة عن مبادرة جديدة تديرها مؤسسة Linux برعاية قدرها مليون دولار من فريق أمان المصدر المفتوح في Google.

مكافآت آمنة مفتوحة المصدر

يركز البرنامج التجريبي على تعزيز أمان المشاريع مفتوحة المصدر الحرجة. تعريف الحرج هو تعريف الحكومة الامريكية، والتي تمت صياغتها لتكملة الأمر التنفيذي رقم 14028. يصنف تعريفهم البرمجيات على أنها بالغة الأهمية إذا كان أحد مكوناتها أو أكثر يحتوي على أي من السمات التالية:


  • تم تصميمه ليتم تشغيله بامتيازات مرتفعة أو إدارة الامتيازات
  • لديه إمكانية الوصول المباشر أو المميز إلى موارد الشبكات أو الحوسبة
  • تم تصميمه للتحكم في الوصول إلى البيانات أو التكنولوجيا التشغيلية
  • إنه يؤدي وظيفة مهمة للثقة
  • يعمل خارج حدود الثقة الطبيعية مع إمكانية الوصول المميزة

وهناك عامل مهم آخر يتمثل في التأثير المحتمل لهذه المشكلة على مستهلكي البرامج. فمن هم المتأثرون، وبأي أعداد، وكيف؟ وإذا تم دمج البرنامج المعني في مشاريع أخرى مفتوحة المصدر، فسوف يكون تأثيره أعلى مما لو كان تطبيقاً مستقلاً. وكلما زادت شعبية أحد المكونات، زادت جاذبيته لهجوم على سلسلة التوريد.

ولهذا السبب سيتم أيضًا أخذ المعايير التالية في الاعتبار:


  • ما عدد وأنواع المستخدمين الذين سيتأثرون بتحسينات الأمان؟
  • هل سيكون للتحسينات تأثيرًا كبيرًا على البنية التحتية وأمن المستخدم؟
  • في حال تعرض المشروع للخطر، ما مدى خطورة أو اتساع العواقب التي قد تترتب على ذلك؟
  • هل المشروع مدرج في دراسة تعداد هارفارد 2 من الحزم الأكثر استخدامًا، أو هل لديها تقييم نقدي لـ OpenSSF 0.6 أو أكثر؟

بشكل عام، يمكن لمشروع برمجي أن يتقدم بطلب للحصول على أموال تسمح له بتصحيح مشكلة أمنية. تتم مراجعة الطلب ويتم النظر في مواضيع مثل مدى أهمية المشروع، وما هي الإصلاحات أو التحسينات المطلوبة، ومن سيقوم بالعمل. سيكون أعضاء مجلس التقييم من مؤسسة Linux وفريق أمان Google Open Source.

لكي يتم النظر إلى الاقتراح بشكل إيجابي، يجب أن يتضمن التحسينات من هذه القائمة:


يتم تصنيف المكافآت وتوزيعها وفقًا لمدى تعقيد ومزايا تحسينات الأمان والتأثير المحتمل للهجوم الناجح على المجتمع الأوسع.

  • 10000 دولار أو أكثر:تحسينات معقدة وعالية التأثير ودائمة تمنع بشكل شبه مؤكد الثغرات الأمنية الرئيسية في الكود المتأثر أو البنية الأساسية الداعمة
  • 5000-10000 دولار:تحسينات معقدة إلى حد ما تقدم فوائد أمنية مقنعة
  • 1000 دولار إلى 5000 دولار:المشاركات ذات التعقيد والتأثير المتواضع
  • 505 دولار:تحسينات صغيرة ولكنها ذات قيمة من وجهة نظر أمنية


ولابد من الاتفاق على آليات الإبلاغ والالتزام بها. وسوف تراقب هذه الآليات التقدم المحرز في تنفيذ الإصلاحات، وتتحقق من تنفيذها بالفعل. ولا يقتصر الأمر على مجرد أموال مجانية.

لماذا هذا مهم؟

وجاء في تقرير شركة Sonatype “… نتوقع أن يستمر المهاجمون في استهداف أصول سلسلة توريد البرامج في المنبع كمسار مفضل لاستغلال الضحايا في المصب على نطاق واسع”.

وبسبب الاستخدام الواسع النطاق للبرمجيات مفتوحة المصدر في تطوير المنتجات المفتوحة والمملوكة، فإن هذا النطاق ضخم. فقد تغلغلت البرمجيات مفتوحة المصدر في النسيج التكنولوجي لعالمنا الحديث بدرجة مذهلة. والواقع أن هذا النسيج التكنولوجي يعتمد الآن بشكل كامل على البرمجيات مفتوحة المصدر.

مبادرات مثل 

sigstore

و 

Allstar

تم تصميمها لتقديم المساعدة لحركة المصادر المفتوحة بأكملها. أدوات أخرى مثل 

preflight

ويتم نشر هذه الحلول على مستوى المستهلك. وتكمل هذه المبادرة الجديدة كلا النهجين وتهاجم المشكلة من جذورها.


إذا قمت بتحسين الكود والبنية الأساسية للتطوير وإزالة الثغرات الأمنية، فسوف يكون هناك عدد أقل من الثغرات المحتملة. وهذا من شأنه أن يقلل من عدد الاختراقات.

إن جوائز Secure Open Source ليست مكافأة على الأخطاء. بل إنها تهدف إلى توفير الموارد اللازمة لمعالجة المشاكل. إن معالجة المشاكل في الكود، وتعزيز خطوط أنابيب CI/CD ومستودعات الكود المصدر، واستخدام مخطط التوقيع والتحقق من صحة القطع الأثرية البرمجية، من شأنه أن يغير الموقف الذي تجد نفسها فيه البرمجيات مفتوحة المصدر.

أضف تعليق