گوگل قصد دارد در تأمین امنیت زنجیره تأمین برنامههای منبع باز به صورت رایگان سهمی داشته باشد.
به گزارش افتانا به نقل از تکرادار، نرم افزار منبع باز Assured (Assured OSS) گوگل، سرویس جدیدی که از مخازن منبع باز در برابر حملات
زنجیره تأمین محافظت میکند، اکنون برای همه در دسترس است.
یک سال پس از اعلام اولیه این سرویس، گوگل در اوایل این هفته آن را در دسترس عموم قرار داد و در میان گمانهزنیها در مورد قیمت آن، تصمیم غافلگیرکنندهای برای ارائه رایگان آن گرفته است. کسانی که علاقه مند به ارائه Assured OSS هستند فقط باید یک حساب کاربری جدید ثبت کنند.
امروزه توسعه نرمافزار به شدت بر کد منبع باز متکی است. توسعهدهندگان از سراسر جهان قطعه کدهایی را ایجاد می کنند که سپس از طریق مخازنی مانند
گیتهاب، PyPI و سایرین با جامعه توسعه گستردهتر به اشتراک گذاشته میشود. این به توسعهدهندگان دیگر اجازه میدهد تا آن کد را دریافت کرده و آن را در راهحلهای خود پیادهسازی کنند، بدون اینکه نیازی به صرف ساعتهای بیش از حد برای ساختن عناصر از ابتدا داشته باشند.
با این حال، این یک فرصت منحصر به فرد برای عاملان تهدید است. اگر به حسابهای توسعهدهنده نفوذ کنند، میتوانند بستههای موجود را با کدهای مخرب تغییر دهند. اگر آن کد مخرب در نهایت در چندین راهحل ادغام شود، درهای زیادی را به روی هکرها باز میکند تا دادههای حساس را سرقت کنند، بدافزار مرحله دوم را مستقر کنند و موارد دیگر.
حتی اگر به حسابها نفوذ نکنند، هکرها اغلب درگیر typosquatting میشوند و بستههایی را ایجاد میکنند که تقریباً شبیه بستههای قانونی هستند. به این ترتیب، توسعهدهندگانی که بیش از حد کار میکنند، یا کسانی که تحت فشار قرار میگیرند، ممکن است به اشتباه بسته اشتباهی را دانلود کنند و در نتیجه محصولات خود را به خطر بیندازند.
این حمله که به عنوان «حمله زنجیره تأمین» شناخته میشود، در سالهای اخیر به یک عامل نسبتاً رایج جرایم سایبری تبدیل شده است. به عنوان مثال، سال گذشته سوناتایپ گزارش داد که بین سال های ۲۰۱۹ تا ۲۰۲۲، بیش از ۹۵ هزار بسته مخرب جدید وجود داشته است که تنها در سال ۲۰۲۱ تعداد ۵۵ هزار بسته بود. این افزایش ۷۰۰ درصدی در حملات مخزن طی این سه سال بود.
تقریباً هر کسب و کار مدرن به منبع باز متکی است. برایان فاکس، یکی از بنیانگذاران و مدیر ارشد فناوری سوناتایپ، گفت: واضح است که استفاده از مخازن منبع باز به عنوان نقطه ورود برای حملات مخرب هیچ نشانهای از کاهش سرعت را نشان نمیدهد و تشخیص زودهنگام آسیبپذیریهای امنیتی شناخته شده و ناشناخته را مهمتر از همیشه میکند.
وی افزود: توقف اجزای مخرب قبل از ورود به در، یک عنصر اساسی پیشگیری از خطر است و باید بخشی از هر مکالمه پیرامون حفاظت از زنجیره تأمین نرمافزار باشد.
اکنون، گوگل می گوید که کتابخانهها را بهروز نگه می دارد و دائماً برای نقصهای شناخته شده اسکن میشود. همچنین تستهای فازی را برای جستجوی آسیبپذیریهای جدید اجرا میکند و در حال توسعه اصلاحات است.
منبع:
Techradar