لا تترك المصدر المفتوح مفتوحًا للثغرات الأمنية
ألا تستطيع حضور Transform 2022؟ تحقق من جميع جلسات القمة في مكتبتنا عند الطلب الآن! انظر هنا.
أصبحت البرامج مفتوحة المصدر العمود الفقري للاقتصاد الرقمي: فهي تشكل ما يقدر بنحو 70-90٪ من جميع البرامج الحديثة.
ولكن على الرغم من أنها تتمتع بالعديد من المزايا (فهي تعاونية وقابلة للتطوير ومرنة وفعالة من حيث التكلفة) ، إلا أنها مليئة بالثغرات الأمنية وغيرها من المشكلات الأمنية المعروفة والتي لم يتم اكتشافها بعد. نظرًا للانفجار في اعتماده ، فإنه يشكل خطرًا كبيرًا على المنظمات على جميع المستويات.
تعمل المشكلات الناشئة على مضاعفة نقاط الضعف التقليدية ومخاطر الترخيص ، مما يسلط الضوء على الحاجة الملحة والأهمية لتأمين رمز برمجيات المصدر المفتوح (OSS) الذي يتم نشره للجمهور ومتاحًا مجانًا لأي شخص للتوزيع والتعديل والمراجعة والمشاركة.
قال ديفيد ويلر ، مدير أمن سلسلة التوريد مفتوح المصدر في مؤسسة Linux Foundation: "في الآونة الأخيرة ، كان النظام البيئي مفتوح المصدر تحت الحصار".
حدثMetaBeat 2022
ستجمع MetaBeat قادة الفكر لتقديم المشورة بشأن الكيفية التي ستغير بها التكنولوجيا metaverse الطريقة التي تتواصل بها جميع الصناعات وتؤدي أعمالها في 4 أكتوبر في سان فرانسيسكو ، كاليفورنيا. سجل هنا
وأشار إلى أن الهجمات لا تقتصر على المصادر المفتوحة. ما عليك سوى إلقاء نظرة على الحصار المدمر لسلسلة توريد Orion التابعة لشركة SolarWinds ، وهي نظام مغلق. في النهاية ، "نحتاج إلى تأمين جميع البرامج ، بما في ذلك النظام البيئي مفتوح المصدر". الوضع الحرج للمصدر المفتوح
وفقًا لتقرير صادر عن مؤسسة Linux ، يدرك قادة التكنولوجيا جيدًا هذه الحقيقة ، لكنهم كانوا بطيئين في تبني إجراءات أمنية للمصدر المفتوح.
من بين النتائج: فقط 49٪ من المنظمات لديها سياسة أمنية تغطي التطوير أو الاستخدام (OSS). تقول 59٪ من المنظمات أن برمجيات المصدر المفتوح الخاصة بهم إما آمنة نسبيًا أو آمنة للغاية. فقط 24٪ من المنظمات واثقة من أمان تبعياتها المباشرة.
بالإضافة إلى ذلك ، في المتوسط ، تحتوي التطبيقات على خمس ثغرات أمنية خطيرة على الأقل لم يتم حلها ، وفقًا للتقرير.
مثال: المشكلات النظامية التي أدت إلى حادثة Log4Shell. كانت ثغرة البرامج في Apache Log4j ، وهي مكتبة Java شائعة لتسجيل رسائل الخطأ في التطبيقات ، معقدة وواسعة الانتشار ، مما أثر على ما يقرب من 44٪ من شبكات الشركات في جميع أنحاء العالم. ولا يزال يؤثر على الأعمال التجارية اليوم.
نتيجة لذلك ، ذكر تقرير حديث لمجلس مراجعة السلامة على الإنترنت أن Log4j أصبح "ثغرة أمنية مزمنة" سيتم استغلالها لسنوات.
في غضون ذلك ، أعلنت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) مؤخرًا أن إصدارات حزمة NPM الشائعة "ua-parser-js" تحتوي على تعليمات برمجية ضارة. تُستخدم الحزمة في التطبيقات والمواقع الإلكترونية لاكتشاف نوع الجهاز أو المتصفح المستخدم. يمكن أن تسمح أجهزة الكمبيوتر أو الأجهزة المخترقة للمهاجمين عن بُعد بالحصول على معلومات حساسة أو السيطرة على النظام.
في النهاية ، عندما يتم الكشف عن ثغرة أمنية في OSS ، سيستخدم المهاجمون تلك المعلومات لفحص النظام ...
ألا تستطيع حضور Transform 2022؟ تحقق من جميع جلسات القمة في مكتبتنا عند الطلب الآن! انظر هنا.
أصبحت البرامج مفتوحة المصدر العمود الفقري للاقتصاد الرقمي: فهي تشكل ما يقدر بنحو 70-90٪ من جميع البرامج الحديثة.
ولكن على الرغم من أنها تتمتع بالعديد من المزايا (فهي تعاونية وقابلة للتطوير ومرنة وفعالة من حيث التكلفة) ، إلا أنها مليئة بالثغرات الأمنية وغيرها من المشكلات الأمنية المعروفة والتي لم يتم اكتشافها بعد. نظرًا للانفجار في اعتماده ، فإنه يشكل خطرًا كبيرًا على المنظمات على جميع المستويات.
تعمل المشكلات الناشئة على مضاعفة نقاط الضعف التقليدية ومخاطر الترخيص ، مما يسلط الضوء على الحاجة الملحة والأهمية لتأمين رمز برمجيات المصدر المفتوح (OSS) الذي يتم نشره للجمهور ومتاحًا مجانًا لأي شخص للتوزيع والتعديل والمراجعة والمشاركة.
قال ديفيد ويلر ، مدير أمن سلسلة التوريد مفتوح المصدر في مؤسسة Linux Foundation: "في الآونة الأخيرة ، كان النظام البيئي مفتوح المصدر تحت الحصار".
حدثMetaBeat 2022
ستجمع MetaBeat قادة الفكر لتقديم المشورة بشأن الكيفية التي ستغير بها التكنولوجيا metaverse الطريقة التي تتواصل بها جميع الصناعات وتؤدي أعمالها في 4 أكتوبر في سان فرانسيسكو ، كاليفورنيا. سجل هنا
وأشار إلى أن الهجمات لا تقتصر على المصادر المفتوحة. ما عليك سوى إلقاء نظرة على الحصار المدمر لسلسلة توريد Orion التابعة لشركة SolarWinds ، وهي نظام مغلق. في النهاية ، "نحتاج إلى تأمين جميع البرامج ، بما في ذلك النظام البيئي مفتوح المصدر". الوضع الحرج للمصدر المفتوح
وفقًا لتقرير صادر عن مؤسسة Linux ، يدرك قادة التكنولوجيا جيدًا هذه الحقيقة ، لكنهم كانوا بطيئين في تبني إجراءات أمنية للمصدر المفتوح.
من بين النتائج: فقط 49٪ من المنظمات لديها سياسة أمنية تغطي التطوير أو الاستخدام (OSS). تقول 59٪ من المنظمات أن برمجيات المصدر المفتوح الخاصة بهم إما آمنة نسبيًا أو آمنة للغاية. فقط 24٪ من المنظمات واثقة من أمان تبعياتها المباشرة.
بالإضافة إلى ذلك ، في المتوسط ، تحتوي التطبيقات على خمس ثغرات أمنية خطيرة على الأقل لم يتم حلها ، وفقًا للتقرير.
مثال: المشكلات النظامية التي أدت إلى حادثة Log4Shell. كانت ثغرة البرامج في Apache Log4j ، وهي مكتبة Java شائعة لتسجيل رسائل الخطأ في التطبيقات ، معقدة وواسعة الانتشار ، مما أثر على ما يقرب من 44٪ من شبكات الشركات في جميع أنحاء العالم. ولا يزال يؤثر على الأعمال التجارية اليوم.
نتيجة لذلك ، ذكر تقرير حديث لمجلس مراجعة السلامة على الإنترنت أن Log4j أصبح "ثغرة أمنية مزمنة" سيتم استغلالها لسنوات.
في غضون ذلك ، أعلنت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) مؤخرًا أن إصدارات حزمة NPM الشائعة "ua-parser-js" تحتوي على تعليمات برمجية ضارة. تُستخدم الحزمة في التطبيقات والمواقع الإلكترونية لاكتشاف نوع الجهاز أو المتصفح المستخدم. يمكن أن تسمح أجهزة الكمبيوتر أو الأجهزة المخترقة للمهاجمين عن بُعد بالحصول على معلومات حساسة أو السيطرة على النظام.
في النهاية ، عندما يتم الكشف عن ثغرة أمنية في OSS ، سيستخدم المهاجمون تلك المعلومات لفحص النظام ...
What's Your Reaction?
