المقبس - تأمين البرامج مفتوحة المصدر ضد هجمات سلسلة التوريد باستخدام تحليل الحزمة من الجيل التالي

مع ظهور الإنترنت وانتشارها في كل مكان ، تعتمد الشركات بشكل متزايد على الرقمنة للبقاء والازدهار في بيئة الأعمال التجارية اليوم. ولكن مع المزايا التي جلبتها التطورات التكنولوجية ، هناك مشاكل تحتاج هذه الشركات إلى التعامل معها. يعد انتهاك الأمن السيبراني مشكلة مهمة للشركات ، والتي يمكن أن تسبب الكثير من الضرر. لذلك ، لمعالجة هذه المشكلة ، أطلقت Socket منصتها للأمن السيبراني لمساعدة الشركات على حماية نفسها من هجمات سلسلة توريد البرامج. تستخدم هذه الشركات منصة الأمن السيبراني لحماية تطبيقاتها البرمجية والخدمات الهامة من البرامج الضارة والتهديدات الأمنية التي تنشأ في التعليمات البرمجية مفتوحة المصدر.

اقرأ أيضًا: 7 أسباب لماذا تعتبر إدارة الموارد مهمة للشركات الصغيرة

أسسها فروس أبو خديجة ، تأسست عام 2021 برؤية لحماية النظم البيئية مفتوحة المصدر للشركات. كان تركيزها على البرامج مفتوحة المصدر ، والتي تمكن الفرق من بناء تطبيقات قوية في وقت أقصر. علاوة على ذلك ، يمكن لأي شخص في المجموعة فحص الكود والمساهمة فيه. أدرك أبو خديجة أن بعض المهاجمين ، بصفتهم مجتمعًا يتمتع بالثقة بشكل عام ، يستغلون هذه الثقة والانفتاح لتنفيذ هجمات سلسلة التوريد الوقحة. كان هناك نمو غير مسبوق في حجم البرمجيات الخبيثة مفتوحة المصدر. هذا هو معدل الزيادة الذي تم تداوله بشأن استمرار استخدام البرمجيات مفتوحة المصدر.

هناك أسباب لعدم نجاح الأساليب المجربة والموثوقة في حماية المصادر المفتوحة. لطالما انشغلت صناعة الأمن بأكملها بالمسح بحثًا عن نقاط الضعف المعروفة ، وهو نهج تفاعلي للغاية لإيقاف هجوم نشط لسلسلة التوريد. يمكن أن يستغرق اكتشاف حالات التعرض أسابيع أو شهورًا.

في ثقافة التطور السريع اليوم ، يمكن تحديث التبعية الخبيثة ودمجها وتشغيلها في الإنتاج في أيام أو حتى ساعات. هذا ليس وقتًا كافيًا لإنشاء مكافحة التطرف العنيف وتشق طريقها إلى أدوات فحص الثغرات الأمنية التي تستخدمها الفرق.

تختلف الهجمات ونقاط الضعف في سلسلة التوريد اختلافًا كبيرًا ، وهي بحاجة إلى حلول مختلفة تمامًا:

تم عرض الثغرات عن طريق الخطأ بواسطة مشرف مفتوح المصدر. في بعض الأحيان ، من المقبول شحن ضعف في الإنتاج إذا كان تأثيره منخفضًا.

هجمات سلسلة التوريد يتم تقديمها عمدًا من قبل المهاجم. ليس من المقبول أبدًا إرسال برامج ضارة لعرضها. يجب عليك الإمساك به قبل تثبيته أو الاعتماد عليه.

لدى الفرق التي ترغب في معالجة هجمات سلسلة التوريد حاليًا خياران:

• قم بمراجعة كاملة - اقرأ كل سطر من التعليمات البرمجية في جميع التبعيات. عدد قليل جدًا من الشركات تفعل ذلك ، لكنه المعيار الذهبي لمنع هجمات سلسلة التوريد. يتطلب الأمر فريقًا بدوام كامل لإدارة هذه العملية - عمليات التدقيق والتحديثات وقائمة السماح وتطبيق تصحيحات الأمان الهامة. هذا النهج بعيد المنال لجميع الشركات باستثناء أبرز الشركات أو التطبيقات الأكثر أهمية من حيث الأمان. إنه عمل كثير ، إنه بطيء ومكلف.
• لا تفعل شيئًا - تقاطع أصابعك وأتمنى الأفضل. هذا هو الخيار الذي تتخذه معظم الفرق. في معظم الوحدات ، يمكن لأي مطور تثبيت أي تبعية لإنجاز المهمة ، ولا أحد حتى ينظر إلى الكود في هذه التبعيات قبل الموافقة على طلب السحب. كما قد تتوقع ، فإن هذا النهج يترك الشركات عرضة تمامًا لهجمات سلسلة التوريد.

لا يعتبر أي من النهجين مثاليًا.

اقرأ أيضًا: 10 أسباب تجعل اختبار البرمجيات مجالًا وظيفيًا متناميًا اليوم

أثناء تطوير تطبيق Wormhole (أداة نقل ملفات مشفرة من طرف إلى طرف) ، واجهت الشركة تحديات اختيار وإدارة وتحديث تبعيات المصدر المفتوح وسط هجوم مستمر من هجمات سلسلة التوريد. أدى ذلك إلى الحاجة إلى حل مؤلم للمشكلة. وهكذا ، قامت الشركة بالتحقيق فيما يفعله المهاجمون بالفعل بمجرد اختراق الحزمة. اتبعت كل هجمات سلسلة التوريد تقريبًا في نظام JavaScript البيئي نمطًا مألوفًا. بمجرد أن يتحكم المهاجم في الحزمة ، قاموا بإضافة البرامج النصية للتثبيت ، أو اتصالات الشبكة ، أو أوامر shell ، أو الوصول إلى نظام الملفات ، أو التعليمات البرمجية المبهمة. استخدم آخرون الهندسة الاجتماعية ، مثل القرفصاء المطبعي. قدم هذا الاتجاه الصحيح للحل. يفترض الحل المبتكر أن جميع الحزم مفتوحة المصدر قد تكون ضارة وتعمل بشكل عكسي للكشف بشكل استباقي عن علامات الحزم المخترقة. سعت الشركة إلى أبسط طريقة للتخفيف من هذه المخاطر دون الإضرار بقابلية الاستخدام. وهكذا ، شرعوا في مساعدة المطورين على استخدام المصدر المفتوح بأمان دون التضحية بسرعة التطوير. على مدار الأشهر التالية ، ظهر Socket بحزمه مفتوحة المصدر الشهيرة.

يمكن للشركة اكتشاف العلامات المنذرة لهجوم سلسلة التوريد من خلال التحليل الثابت لحزم المصادر المفتوحة وتبعياتها. ثم ينبه المطورين عندما تتغير الحزم بطرق ذات صلة بالأمان ، ويسلط الضوء على أحداث مثل إدخال البرامج النصية للتثبيت ، أو التعليمات البرمجية المبهمة ، أو استخدام واجهات برمجة التطبيقات ذات الامتيازات مثل متغيرات الهيكل والشبكة ونظام الملفات والبيئة. على سبيل المثال ، لاكتشاف ما إذا كانت الحزمة تستخدم الشبكة ، يبحث Socket في ما إذا كانت وحدات fetch () أو Node's net أو dgram أو DNS أو HTTP أو HTTPS تُستخدم داخل الحزمة أو أي من تبعياتها. إذا كان إصدار جديد من الحزمة - خاصة الإصدار الثانوي أو إصدار التصحيح - يضيف رمزًا للتواصل مع الشبكة ، فهذه علامة حمراء ضخمة. وهكذا ، تم الكشف عن مشكلات الحزمة.

كانت استجابة العملاء للمنتجات والخدمات الرقمية للشركة ممتازة! دأبت الشركة على حماية آلاف المنظمات وعشرات الآلاف من المستودعات خلال شهرين منذ إطلاقها.

يتكون عملاء الشركة من الشركات التي تريد حماية نفسها من الهجمات. يستغرق الأمر بضع دقائق فقط للحماية من هجمات سلسلة التوريد عن طريق تثبيت تطبيق الشركة.

القصة التالية: كاروكا - ماركة ملابس جديدة لهواة الفن!

رسالة للعملاء والمشاهدين:

أصبحت المكتبات مفتوحة المصدر أكثر شيوعًا من أي وقت مضى. نظرًا لأن التعليمات البرمجية مفتوحة المصدر تشكل 80-90٪ من معظم قواعد التعليمات البرمجية ، فمن الأهمية بمكان إدارتها بفعالية لتقليل المخاطر الأمنية للمؤسسة. انفجرت هجمات سلسلة توريد البرمجيات في العام الماضي ، وازداد استخدام المكونات مفتوحة المصدر كناقلات. يمكن أن يؤدي استخدام تبعيات الطرف الثالث دون فحص مناسب إلى القرصنة والخروقات ومشكلات أمنية مختلفة. يكتشف Socket هجمات سلسلة التوريد قبل وقوع الكوارث ، مما يمنع المشكلات الأمنية التي تسببها التعليمات البرمجية مفتوحة المصدر في الوقت الفعلي. يقدم Socket أكثر بكثير من مجرد فحص نقاط الضعف الأساسية. من خلال الدمج مباشرة في سير عمل المطور ، يمنع Socket الهجمات التي لا تتوقعها - البرامج الضارة ، والتعليمات البرمجية المخفية ، والحزم المطبعية ، والحزم المضللة. يساعد Socket المطورين على تحمل مسؤولية سلامة تبعياتهم من خلال إخبارهم بالمصدر المفتوح الذي يستخدمونه ، وما الذي يفعله (أو يمكن أن يفعله) ، والمكونات الأكثر تعرضًا للخطر. من خلال عرض معلومات الأمان المضمنة مباشرةً في GitHub وأنظمة التحكم الأخرى بالمصادر ، يمكن للمطورين تجنب مشكلات الأمان قبل إدخالها في الإنتاج ".