سرشماری هاروارد رایج ترین بسته های منبع باز مورد استفاده را مشخص می کند

محققان امیدوارند که با افزایش آگاهی از پرکاربردترین بسته های منبع باز، بتوانند از وقوع سوء استفاده بعدی Log4j یا Heartbleed جلوگیری کنند.

محققان آزمایشگاه علوم نوآوری در دانشگاه هاروارد (LISH) بیشترین سرشماری جامع بسته های نرم افزاری رایگان و منبع باز (FOSS) تا به امروز، با هدف کمک به صنعت محافظت بهتر در برابر آسیب پذیری های پرمخاطب مانند Heartbleed و Log4shell ، که بر پروژه های منبع باز محبوب تأثیر گذاشت.

این سرشماری در زمانی انجام می‌شود که صنعت فناوری مجبور است با خطرات ناشی از استفاده گسترده از فناوری منبع باز در برنامه‌های حیاتی سازمانی و بخش عمومی مقابله کند.

تحقیق بر روی بسته‌های نرم‌افزاری در سطح کتابخانه کاربردی با جمع‌آوری داده‌های بیش از نیم میلیون مشاهده کتابخانه‌های FOSS مورد استفاده در برنامه‌های کاربردی تولید در هزاران شرکت در سال ۲۰۲۰ متمرکز است.

«FOSS به بخش مهمی از اقتصاد مدرن تبدیل شده است. ده ها میلیون پروژه FOSS وجود دارد که بسیاری از آنها در نرم افزارها و محصولاتی که ما هر روز استفاده می کنیم ساخته می شوند. با این حال، درک کامل سلامت، ارزش اقتصادی و امنیت FOSS دشوار است زیرا به صورت غیرمتمرکز و توزیع شده تولید می‌شود.» نویسندگان سرشماری در گزارش خود خاطرنشان کردند.

در گزارش چیست؟

سرشماری به هشت لیست رتبه بندی شده تقسیم شده است. چهار شامل شماره نسخه و چهار نسخه آگنوستیک هستند. بسته‌هایی که از مدیر بسته npm پیش‌فرض جاوا اسکریپت استفاده می‌کنند از بسته‌های غیرnpm جدا شده‌اند.

همچنین لیست‌های جداگانه‌ای برای بسته‌هایی وجود دارد که مستقیماً توسط توسعه‌دهندگان فراخوانی می‌شوند در مقابل بسته‌هایی که به‌طور غیرمستقیم به عنوان وابستگی نامیده می‌شوند، توجه به انواع وابستگی‌های عمیق‌تر را جلب می‌کند که مشاهده آنها برای توسعه‌دهندگان در محیط‌هایشان دشوارتر است.

این فهرست‌ها بهترین تخمین ما را نشان می‌دهند که بسته‌های FOSS بیشترین استفاده را در برنامه‌های مختلف دارند، با توجه به محدودیت‌های زمانی و داده‌های گسترده، اما نه جامع، که جمع‌آوری کرده‌ایم.

در حالی که سرشماری تلاشی برای شناسایی پرخطرترین پروژه‌های OSS نمی‌کند، خاطرنشان می‌کند که «اندازه‌گیری نمایه‌های ریسک یک کار قابل تفکیک است، و انجام آن پس از شناسایی پرکاربردترین نرم‌افزار آسان‌تر است». این کار به تلاش بین صنعتی نیاز دارد و به مشخصات ریسک فردی سازمان مصرف کننده بستگی دارد.

برای سازمان‌هایی که قبلاً شروع به جمع‌آوری صورت‌حساب‌های نرم‌افزاری خود کرده‌اند، این فهرست‌ها می‌توانند یک مرجع مفید برای اینکه کدام بسته‌های منبع باز رایج‌ترین هستند و شروع به اختصاص منابع برای اطمینان از آن پروژه ها امن هستند.

جلوگیری از Log4j بعدی

محققان امیدوارند که با افزایش آگاهی از متداول‌ترین بسته‌های منبع باز، بتوانند از وقوع سوءاستفاده بعدی Log4j یا Heartbleed جلوگیری کنند.

فرانک ناگل، نویسنده گزارش و استادیار دانشکده بازرگانی هاروارد، به InfoWorld گفت: «امیدواریم Log4j بعدی در لیست ما باشد و قبل از رسیدن به مشکلات جدی به آن برسیم.

نویسندگان گزارش امیدوارند که با شناسایی «بسته‌های حیاتی FOSS» به توسعه‌دهندگان و کاربران نهایی کمک کند تا داده‌ها را به اشتراک بگذارند، سرمایه‌گذاری کنند و تلاش‌ها را برای ایمن کردن پروژه‌های منبع باز کلیدی، که اغلب توسط گروه‌های کوچکی از داوطلبان نگهداری می‌شوند، هماهنگ کنند. توسعه دهندگان.

در سال ۲۰۱۴، پس از کشف نقص Heartbleed، بنیاد لینوکس ابتکار زیرساخت اصلی (CII) را در تلاش برای تأمین بودجه و پشتیبانی بهتر از پروژه‌های حیاتی FOSS، یعنی با پرداخت هزینه به نگهبانان و شناسایی پروژه‌های حیاتی و تنظیمات، تأسیس کرد. بهترین شیوه های امنیتی در سال ۲۰۲۰ بسیاری از این تلاش‌ها در بنیاد امنیت منبع باز (OpenSSF) تازه ایجاد شده، که از این پروژه تحقیقاتی پشتیبانی می‌کرد، جمع‌آوری شد.

امنیت منبع باز موضوعی است که توجه دولت های سراسر جهان را به خود جلب کرده است. کاخ سفید اخیراً جلساتی را برگزار کرده است با نمایندگان بخش دولتی و خصوصی برای بحث در مورد این موضوع. هدف آن جلسه بحث در مورد چگونگی جلوگیری از نقص و آسیب پذیری های امنیتی در کد منبع باز و بسته ها، بهبود فرآیند یافتن و رفع آسیب پذیری ها، و کوتاه کردن زمان پاسخگویی برای رفع مشکلات بود.

در سال ۲۰۱۴، کمیسیون اروپایی یک استراتژی FOSS خود را ایجاد کرد و چند سال بعد با راه‌اندازی برنامه‌های پاداش باگ، هکاتون‌ها و کنفرانس‌ها، حمایت مالی از حسابرسی FOSS را آغاز کرد.

سایر درس های آموخته شده

این گزارش همچنین پنج مشاهدات گسترده را در مورد وضعیت استفاده سازمانی از نرم‌افزار منبع باز امروز ارائه کرده است. اینها عبارتند از:

• نیاز به یک طرح نامگذاری استانداردتر برای اجزای نرم افزار وجود دارد.
• پیچیدگی‌های جدی مرتبط با نسخه‌سازی بسته وجود دارد.
• بسیاری از پرکاربردترین FOSS تنها توسط تعداد انگشت شماری از مشارکت کنندگان توسعه یافته است.
• امنیت حساب توسعه‌دهنده فردی از اهمیت فزاینده‌ای برخوردار است.
• نرم افزار قدیمی در فضای منبع باز باقی می ماند.

“این تلاش سرشماری به دور از اینکه کلمه نهایی در مورد پروژه های حیاتی FOSS باشد، آغاز گفتگوی بزرگتر در مورد چگونگی شناسایی بسته های حیاتی و اطمینان از دریافت منابع و پشتیبانی کافی است.”