محققان امیدوارند که با افزایش آگاهی از پرکاربردترین بسته های منبع باز، بتوانند از وقوع سوء استفاده بعدی Log4j یا Heartbleed جلوگیری کنند.
محققان آزمایشگاه علوم نوآوری در دانشگاه هاروارد (LISH) بیشترین سرشماری جامع بسته های نرم افزاری رایگان و منبع باز (FOSS) تا به امروز، با هدف کمک به صنعت محافظت بهتر در برابر آسیب پذیری های پرمخاطب مانند Heartbleed و Log4shell ، که بر پروژه های منبع باز محبوب تأثیر گذاشت.
این سرشماری در زمانی انجام میشود که صنعت فناوری مجبور است با خطرات ناشی از استفاده گسترده از فناوری منبع باز در برنامههای حیاتی سازمانی و بخش عمومی مقابله کند.
تحقیق بر روی بستههای نرمافزاری در سطح کتابخانه کاربردی با جمعآوری دادههای بیش از نیم میلیون مشاهده کتابخانههای FOSS مورد استفاده در برنامههای کاربردی تولید در هزاران شرکت در سال ۲۰۲۰ متمرکز است.
«FOSS به بخش مهمی از اقتصاد مدرن تبدیل شده است. ده ها میلیون پروژه FOSS وجود دارد که بسیاری از آنها در نرم افزارها و محصولاتی که ما هر روز استفاده می کنیم ساخته می شوند. با این حال، درک کامل سلامت، ارزش اقتصادی و امنیت FOSS دشوار است زیرا به صورت غیرمتمرکز و توزیع شده تولید میشود.» نویسندگان سرشماری در گزارش خود خاطرنشان کردند.
در گزارش چیست؟
سرشماری به هشت لیست رتبه بندی شده تقسیم شده است. چهار شامل شماره نسخه و چهار نسخه آگنوستیک هستند. بستههایی که از مدیر بسته npm پیشفرض جاوا اسکریپت استفاده میکنند از بستههای غیرnpm جدا شدهاند.
همچنین لیستهای جداگانهای برای بستههایی وجود دارد که مستقیماً توسط توسعهدهندگان فراخوانی میشوند در مقابل بستههایی که بهطور غیرمستقیم به عنوان وابستگی نامیده میشوند، توجه به انواع وابستگیهای عمیقتر را جلب میکند که مشاهده آنها برای توسعهدهندگان در محیطهایشان دشوارتر است.
این فهرستها بهترین تخمین ما را نشان میدهند که بستههای FOSS بیشترین استفاده را در برنامههای مختلف دارند، با توجه به محدودیتهای زمانی و دادههای گسترده، اما نه جامع، که جمعآوری کردهایم.
در حالی که سرشماری تلاشی برای شناسایی پرخطرترین پروژههای OSS نمیکند، خاطرنشان میکند که «اندازهگیری نمایههای ریسک یک کار قابل تفکیک است، و انجام آن پس از شناسایی پرکاربردترین نرمافزار آسانتر است». این کار به تلاش بین صنعتی نیاز دارد و به مشخصات ریسک فردی سازمان مصرف کننده بستگی دارد.
برای سازمانهایی که قبلاً شروع به جمعآوری صورتحسابهای نرمافزاری خود کردهاند، این فهرستها میتوانند یک مرجع مفید برای اینکه کدام بستههای منبع باز رایجترین هستند و شروع به اختصاص منابع برای اطمینان از آن پروژه ها امن هستند.
جلوگیری از Log4j بعدی
محققان امیدوارند که با افزایش آگاهی از متداولترین بستههای منبع باز، بتوانند از وقوع سوءاستفاده بعدی Log4j یا Heartbleed جلوگیری کنند.
فرانک ناگل، نویسنده گزارش و استادیار دانشکده بازرگانی هاروارد، به InfoWorld گفت: «امیدواریم Log4j بعدی در لیست ما باشد و قبل از رسیدن به مشکلات جدی به آن برسیم.
نویسندگان گزارش امیدوارند که با شناسایی «بستههای حیاتی FOSS» به توسعهدهندگان و کاربران نهایی کمک کند تا دادهها را به اشتراک بگذارند، سرمایهگذاری کنند و تلاشها را برای ایمن کردن پروژههای منبع باز کلیدی، که اغلب توسط گروههای کوچکی از داوطلبان نگهداری میشوند، هماهنگ کنند. توسعه دهندگان.
در سال ۲۰۱۴، پس از کشف نقص Heartbleed، بنیاد لینوکس ابتکار زیرساخت اصلی (CII) را در تلاش برای تأمین بودجه و پشتیبانی بهتر از پروژههای حیاتی FOSS، یعنی با پرداخت هزینه به نگهبانان و شناسایی پروژههای حیاتی و تنظیمات، تأسیس کرد. بهترین شیوه های امنیتی در سال ۲۰۲۰ بسیاری از این تلاشها در بنیاد امنیت منبع باز (OpenSSF) تازه ایجاد شده، که از این پروژه تحقیقاتی پشتیبانی میکرد، جمعآوری شد.
امنیت منبع باز موضوعی است که توجه دولت های سراسر جهان را به خود جلب کرده است. کاخ سفید اخیراً جلساتی را برگزار کرده است با نمایندگان بخش دولتی و خصوصی برای بحث در مورد این موضوع. هدف آن جلسه بحث در مورد چگونگی جلوگیری از نقص و آسیب پذیری های امنیتی در کد منبع باز و بسته ها، بهبود فرآیند یافتن و رفع آسیب پذیری ها، و کوتاه کردن زمان پاسخگویی برای رفع مشکلات بود.
در سال ۲۰۱۴، کمیسیون اروپایی یک استراتژی FOSS خود را ایجاد کرد و چند سال بعد با راهاندازی برنامههای پاداش باگ، هکاتونها و کنفرانسها، حمایت مالی از حسابرسی FOSS را آغاز کرد.
سایر درس های آموخته شده
این گزارش همچنین پنج مشاهدات گسترده را در مورد وضعیت استفاده سازمانی از نرمافزار منبع باز امروز ارائه کرده است. اینها عبارتند از:
- نیاز به یک طرح نامگذاری استانداردتر برای اجزای نرم افزار وجود دارد.
- پیچیدگیهای جدی مرتبط با نسخهسازی بسته وجود دارد.
- بسیاری از پرکاربردترین FOSS تنها توسط تعداد انگشت شماری از مشارکت کنندگان توسعه یافته است.
- امنیت حساب توسعهدهنده فردی از اهمیت فزایندهای برخوردار است.
- نرم افزار قدیمی در فضای منبع باز باقی می ماند.
“این تلاش سرشماری به دور از اینکه کلمه نهایی در مورد پروژه های حیاتی FOSS باشد، آغاز گفتگوی بزرگتر در مورد چگونگی شناسایی بسته های حیاتی و اطمینان از دریافت منابع و پشتیبانی کافی است.”
پست های مرتبط
سرشماری هاروارد رایج ترین بسته های منبع باز مورد استفاده را مشخص می کند
سرشماری هاروارد رایج ترین بسته های منبع باز مورد استفاده را مشخص می کند
سرشماری هاروارد رایج ترین بسته های منبع باز مورد استفاده را مشخص می کند