از آنجایی که کسبوکارها به طور فزایندهای به نرمافزار رایگان و منبع باز (FOSS) وابسته میشوند، خطرات غیرضروری برای وضعیت امنیتی آنها وجود دارد.
این بر اساس آخرین گزارش است () از شرکت امنیتی زنجیره تامین نرمافزار Sonatype، که تصویری بد از انواع نرمافزارهای منبع باز که کسبوکارها به آنها تکیه میکنند، ترسیم میکند، شاید به عنوان وسیلهای برای کاهش هزینههای نرمافزاری.
طبق گزارش زنجیره تامین نرمافزار این شرکت، اکنون در هشتمین سال فعالیت خود، توسعهدهندگان هر ماه 1.2 میلیارد وابستگی آسیبپذیر را دانلود میکنند و از این تعداد، 96 درصد جایگزین غیرآسیبپذیری داشتهاند.
افزایش حملات زنجیره تامین OSS
حمله به مخازن منبع باز که بعدا دانلود و در نرم افزار شرکت ادغام می شوند، نمونه بارز حمله سایبری زنجیره تامین است.
با حدود 1500 تغییر وابستگی در هر برنامه در هر برنامه، حفظ اکوسیستم های منبع باز فشار زیادی بر توسعه دهندگان وارد می کند و همیشه اشتباهاتی رخ می دهد.
شاید در نتیجه، Sonatype گزارش می دهد که این نوع فعالیت سایبری با افزایش 633 درصدی نسبت به سال قبل مواجه شده است.
با این حال، معتقد است راه حلی وجود دارد: در درجه اول، به حداقل رساندن وابستگی ها و افزایش سرعت به روز رسانی نرم افزار در نقاط پایانی. همچنین افزایش آگاهی از وابستگی های آسیب پذیر FOSS را در میان متخصصان مهندسی توصیه می کند.
Sonatype دریافت که بیش از دو سوم (68٪) مطمئن بودند که برنامه های آنها از کتابخانه های آسیب پذیر استفاده نمی کند، با وجود این واقعیت که همان درصد از برنامه های سازمانی – 68٪ – حاوی آسیب پذیری های شناخته شده در مؤلفه های نرم افزار منبع باز خود بودند.
علاوه بر این، مدیران فناوری اطلاعات بیش از دو برابر بیشتر از سایر همتایان خود در زمینه امنیت فناوری اطلاعات بر این باور بودند که شرکت های آنها به طور منظم در مرحله توسعه به مسائل نرم افزاری رسیدگی می کنند.
برای Sonatype، کسب و کارها باید فرآیند توسعه نرم افزار را با ابزارهای هوشمندتر و دید بیشتر و اتوماسیون بهتر ساده و بهینه کنند.
حملات زنجیره تامین برخی از مخرب ترین حوادث سایبری در سال های اخیر بوده اند، از جمله حوادث مبتنی بر آسیب پذیری log4j و سازش SolarWinds. حتی امروزه، مجرمان سایبری با استفاده از نقص log4j، سازمانها را در هر شکل و اندازهای به خطر میاندازند.
از طریق VentureBeat ().
آخرین دیدگاهها