در اوایل سال جاری، یکی از توسعه دهندگان مایکروسافت متوجه شد که شخصی یک درب پشتی را در کد برنامه منبع باز XZ Utils قرار داده است، که تقریباً در تمام سیستم عامل های لینوکس استفاده می شود.

این عملیات دو سال قبل از آن شروع شده بود، زمانی که شخصی، شخصی با نام مستعار JiaT75، شروع به مشارکت در مخزن XZ Utils در GitHub کرد. یک کارشناس امنیت سایبری این حمله را یک "سناریوی کابوس" و "بهترین حمله زنجیره تامین اجرا شده که دیده‌ایم" نامید.

این حمله که به دنبال سایر حوادث معروف امنیت سایبری مربوط به نرم افزارهای منبع باز مانند Heartbleed، Shellshock و Log4j رخ داد، یادآور واضح دیگری بود که نرم افزار منبع باز، با توجه به گستردگی آن، می تواند خطرات امنیتی قابل توجهی را به همراه داشته باشد.

در TechCrunch Disrupt 2024، Bogomil Balkansky، شریک Sequoia Capital؛ Aeva Black، رئیس بخش امنیت منبع باز در آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده؛ و لوئیس ویلا، یکی از بنیانگذاران Tidelift، به بحث در مورد چالش های ایمن سازی نرم افزار منبع باز نشستند.

دوست دارم بگویم منبع باز مانند پیتزا رایگان نیست. این مثل یک توله سگ رایگان است. شما آن را به خانه ببرید و به آن غذا ندهید، اثاثیه و کفش شما را می خورد.

بالکانسکی نرم افزار منبع باز را «نرم حیاتی نرم افزار» نامید که آن را «بنیادی و در همه چیز آماده می کند». بالکانسکی گفت ، مشکل این است که "مدل کسب و کار برای منبع باز هنوز در حال پیشرفت است. "

پس چه کسی باید از آن مراقبت کند و برای تامین آن هزینه کند؟

ویلا و تیمش در Tidelift مدلی را پیشنهاد می‌کنند که در آن شرکت به نگهبانان منبع باز پول می‌دهد تا از کد و شرکای خود برای رفع آسیب‌پذیری‌ها مراقبت کنند.

بلک توضیح داد که CISA اکنون در حال مشارکت است و ابتکاراتی را راه اندازی می کند تا به کسب و کارها بگوید بهترین و بدترین شیوه های امنیتی در هنگام استقرار نرم افزار منبع باز چیست. بلک که فکر می‌کند نرم‌افزار منبع باز یک کالای عمومی است، گفت: "ما اینجا هستیم تا به عنوان عضوی از جامعه منبع باز شرکت کنیم و با آنها کار کنیم."

بالکانسکی در رابطه با نحوه پیشبرد بيان کرد که «راه حل امنیت منبع باز، حداقل تا حدی، باید منبع باز باشد» و هشدار داد که «هیچ گلوله نقره ای وجود ندارد».

ویلا بيان کرد که نیاز به "رویکردهای چندگانه" و "دفاع در عمق" وجود دارد، که به این معنی است که برای محافظت از اکوسیستم منبع باز نیاز به چندین لایه امنیتی وجود دارد.

و بلک بيان کرد که سازندگان نرم افزار باید بدانند کدام نرم افزار منبع باز در محصولات آنها وجود دارد. بلک گفت: «ما به تعامل بهتری نیاز داریم تا همه بتوانند با تلاش کمتر و بار کمتری بر دوش نگهبانان داوطلب و سازمان‌های غیرانتفاعی، این کار را انجام دهند.

خبرکاو