بروزرسانی: 15 آذر 1404
خیلی باز؟ ممنوعیت لینوکس دانشگاه مینه سوتا مشکلاتی را ایجاد می کند
آسیب پذیری های عمدی هسته لینوکس
آیدان مک مانوس، یک مدیر بازنشسته فناوری که بر معماری و مهندسی فناوری اطلاعات در CA Technologies نظارت داشت، می گوید: «شما نمی توانید هر ترکیبی از نحوه اجرای هر بیت کد را آزمایش کنید. "سالها طول می کشد."
پلتفرم هایی مانند Black Duck، Sonatype، Snyk و WhiteSource برای کمک به یافتن اجزای منبع باز در پشته برنامه های کامپیوتری و شناسایی آسیب پذیری ها، اتوماسیون را ارائه می دهند. با این حال، این ابزارها محدود هستند و هماهنگی با وصله های کد مشکل دیگری است که بدتر می شود - آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده اغلب گزارش ها صدها آسیب پذیری نرم افزاری جدید در هفته.
کریستوفر توزی، مدرس ارشد در موسسه پلی تکنیک Rensselaer، می گوید: «مردم آن را بدیهی می دانند که منبع باز کار می کند. نسل جدیدی از مردم وجود دارند که واقعاً به این مسائل فکر نکرده اند.»
منبع
آیوش پودار، یک توسعه دهنده مستقل که در سال 2021 به Toptal پیوست، می گوید: «شما امنیت بیشتری می خواهید، اما این امنیت بهای گزافی دارد.
Ann Barcomb، استادیار دانشکده مهندسی Schulich دانشگاه کلگری، اضافه می کند که در حالت ایده آل، سازمان ها باید از مجموعه ای از بهترین شیوه ها برای ایجاد کتابخانه هایی از محصولات از پیش تأیید شده استفاده کنند تا نرم افزار هرگز خودسرانه انتخاب نشود. با این حال، او اذعان می کند که این فرآیند زمان بر، پرهزینه است و به طور گسترده انجام نمی شود.
پس مشکل لزوماً این نیست که منبع باز خیلی باز است. تیموتی مکی، استراتژیست امنیتی اصلی در Synopsys می گوید، در عوض، این شکاف است که همچنان ادامه دارد، زیرا هیچ فروشنده ای وجود ندارد که وصله ها را برای جامعه منتشر کند، حتی با کاهش چرخه های نرم افزاری. بودجه های کم، برنامه نویسان را مجبور می کند تا از میانبرهای ناقص مانند سیستم های رتبه بندی ساده برای انتخاب مؤلفه های خود - بر اساس محبوبیت، نه کیفیت، استفاده کنند. چندین سرویس وجود دارد که میانبرهایی را به برنامه نویسان ارائه می دهد، از جمله Openbase، Stack Builder، و Open Source Index که محبوب ترین پروژه ها را در GitHub برجسته می کند.
مدیریت آسیب پذیری منبع باز
- استفاده از اتوماسیون، تأیید فرآیندها، مستندسازی همه چیز، و استفاده از Git برای ردیابی تغییرات پایگاه کد.
- ایجاد یک جامعه مثبت، از جمله کمک به افرادی که تازه منبع باز هستند و می توانند به همکاران مهم تبدیل شوند.
- ممیزی نگه داشتن تمام زنجیره های تامین منبع باز.
- استفاده از کانتینرهای منبع باز که هسته سیستم عامل میزبان را به اشتراک می گذارند.
- شناسایی حیاتی ترین مؤلفه های منبع باز، سپس ردیابی مسائل امنیتی آنها، تعامل با توسعه دهندگان آنها و مشارکت مجدد در پروژه های بالادستی با وصله ها و بودجه.
این واقعیت که آسیب پذیری ها در حال رشد هستند، سؤالات اساسی در مورد نحوه مدیریت منبع باز ایجاد می کند. در حالی که نوآوری را تسریع می کند، اساساً یک منبع مشترک است، یک کتابخانه وسیع از نرم افزارهای رایگان که مصرف کنندگان را نجات می دهد. 60 میلیارد دلار در سال و همچنین با کاهش هزینه های توسعه، سود را برای شرکت ها افزایش می دهد. به سادگی ممکن است سواران رایگان زیادی وجود داشته باشند، با منابع کافی نیست متعهد بودن به نگهداری و امنیت
ممنوعیت هسته لینوکس دانشگاه مینه سوتا: محدودیت های آموخته شده
لینوکس زمانی یک ایده خارجی بود، نقطه مقابل تفکر سنتی در مورد نرم افزار اختصاصی، اما به چیزی تبدیل شده است که بیشتر شبیه یک پروژه تجاری است. هواوی، اینتل و ردهت رهبری صدها شرکتی که به طور منظم کد را به هسته لینوکس کمک می کنند. در حالی که بسیاری از این شرکت ها به بنیاد لینوکس و زیرمجموعه های Open Source Initiative نیز کمک مالی می کنند، ممکن است زمان آن رسیده باشد که یک رویکرد سیستماتیک تر برای حمایت از نرم افزار به منظور کمک به بهبود امنیت در آینده باشد - رویکردی که مزایای این نرم افزار را بهتر ارزیابی کند. سیستم های منبع باز حیاتی
قابل اعتماد بودن به اندازه رایگان بودن مهم است، و جامعه منبع باز به ارائه برنامه هایی می بالد که اگر نگوییم بهتر از نرم افزار اختصاصی هستند. این جنبش در دهه 1990 با یک اصل اساسی که توسط توسعه دهنده و نویسنده اریک ریموند ابداع شد، ظهور کرد که «با توجه به چشم های کافی، همه حشرات کم عمق هستند». این منبع باز تاکنون نسبتاً سالم باقی مانده است - حتی در شرایطی که جهان با یک اپیدمی بی سابقه هک و باج افزار دست و پنجه نرم می کند - تنها تأیید دیگری است که چنین همکاری باز هنوز می تواند مؤثر باشد.
در حالی که ویندوز و macOS بر دسکتاپ ها تسلط دارند، سیستم عامل های مبتنی بر لینوکس بسیار زیاد هستند محبوبترین برای سرورها و ابررایانه ها، و گوگل از نسخه اصلاح شده هسته برای اندروید استفاده می کند. غول های فناوری مانند رد هت کسب وکارهای نرم افزاری سازمانی خود را بر اساس منبع باز ایجاد کرده اند و حتی مایکروسافت که برای سال ها به عنوان یکی از مخالفان اصلی اکوسیستم متن باز شناخته می شد، ظهور کرده است: در سال 2018، GitHub، بزرگترین میزبان برنامه های باز را خریداری کرد. پروژه های منبع؛ امروزه، توزیع های لینوکس را می توان در فروشگاه مایکروسافت یافت.
سام واتکینز، یک توسعه دهنده مستقل که در سال 2021 به شبکه Toptal پیوست، می گوید: «منبع باز سابقه امنیتی بسیار بهتری نسبت به محصولات اختصاصی دارد، اما این تضمین نمی کند که همیشه بهترین کیفیت خواهد بود. مشکل، که برنامه های بیش از حد پیچیده است. ناامن است، البته نه از نیت مخرب.»
اما، همانطور که لو در تحقیقات خود نشان داد، هیچ امنیتی کامل نیست، حتی در چیزی به اندازه هسته لینوکس حیاتی و نظارت دقیق. Sereda می گوید در حالی که نوشتن کد ایمن می تواند ساده باشد، یافتن آسیب پذیری ها در کد پس از این واقعیت می تواند فوق العاده دشوار باشد - مانند حذف شیر از چای خود پس از هم زدن آن. در حالی که منبع باز به طور کلی عملکرد تحسین برانگیزی داشته است، جدا از چند مشکل مهم مانند باگ Heartbleed که در سال 2014 ظاهر شد، شواهد زیادی وجود دارد که نشان می دهد توسعه دهندگان به نوبه خود هنگام استفاده از نرم افزار رایگان از میانبرهای زیادی استفاده می کنند. محصولات
مخاطرات امنیتی منبع باز
به گفته برنامه نویسان و دانشگاهیان، در حالی که در این سیستم های رتبه بندی منبع باز ارزش وجود دارد، به جای گرفتن اجزایی که به نظر می رسد بهترین تطابق هستند، باید اعتبار و توجه بیشتری در هنگام وزن کردن گزینه ها وجود داشته باشد. هر سازمان باید مجموعه ای از بهترین شیوه ها که شامل اصولی برای انتخاب دقیق نرم افزار است که میزان پشتیبانی مورد نیاز و خطرات پیش رو را در نظر می گیرد. شرکت ها همچنین باید تمام اجزای منبع باز خود را ردیابی و مرتباً به روز کنند.
در حالی که هیچ چیزی وجود ندارد که نشان دهد بررسی اصلاحات تغییر کرده است، بنیاد لینوکس تغییر کرده است تاسیس مجموعه ای از بهترین روش ها برای محققانی که با هسته کار می کنند، و به دانشگاه مینه سوتا توصیه می شود که یک بازبین برای ارسال های خود تعیین کند. به گفته بارکامب، واقعاً جایگزینی برای بررسی کد وجود ندارد و جامعه در حال حاضر در حال انجام کار معقولی برای جلوگیری از کدهای مخرب است. با توجه به استقلال مورد نیاز برای کار دانش، او می گوید: «بهترین کاری که می توانید انجام دهید این است که فرآیندهایی را برای شناسایی نقض اعتماد و پاسخ دهی متناسب با آن در بهترین حالت قبل از اعمال تغییرات انجام دهید.»
این افشاگری ها سوالاتی را در مورد امنیت منبع باز و هسته سیستم عامل، جزء اساسی دستگاه ها و سرورهای بی شماری ایجاد کرد. لو آسیب پذیری ها را در برخی اصلاحات جزئی که او و یک دانشجوی فارغ التحصیل به مخزن وسیع کدهای نرم افزار لینوکس ارسال کردند، پنهان کرد و یک روش مشترک را که برای ایمن نگه داشتن برنامه ضروری است، زیر پا گذاشت.
Mats Heimdahl، رئیس دپارتمان علوم و مهندسی کامپیوتر دانشگاه مینه سوتا، خاطرنشان می کند که Kangjie و محققانش همچنین تکه های بد متعددی را در هسته پیدا کردند که جدا از باگ هایی بود که ارسال کردند. هایمدال در ایمیلی نوشت: «به نظر من، کاملاً واضح است که فرآیند بازبینی دستی توسط داوطلبانی که بیش از حد کار کرده اند و از آنها قدردانی نشده است (حتی توسط نگهبانان بسیار ماهر و متعهد) به ناچار ناقص خواهد بود.