امنیت منبع باز واقعاً نباید اینقدر نشتی داشته باشد

زمان مطالعه: 2 دقیقه

از آنجایی که کسب‌وکارها به طور فزاینده‌ای به نرم‌افزار رایگان و منبع باز (FOSS) وابسته می‌شوند، خطرات غیرضروری برای وضعیت امنیتی آن‌ها وجود دارد.

این بر اساس آخرین گزارش است () از شرکت امنیتی زنجیره تامین نرم‌افزار Sonatype، که تصویری بد از انواع نرم‌افزارهای منبع باز که کسب‌وکارها به آن‌ها تکیه می‌کنند، ترسیم می‌کند، شاید به عنوان وسیله‌ای برای کاهش هزینه‌های نرم‌افزاری.

طبق گزارش زنجیره تامین نرم‌افزار این شرکت، اکنون در هشتمین سال فعالیت خود، توسعه‌دهندگان هر ماه 1.2 میلیارد وابستگی آسیب‌پذیر را دانلود می‌کنند و از این تعداد، 96 درصد جایگزین غیرآسیب‌پذیری داشته‌اند.

افزایش حملات زنجیره تامین OSS

حمله به مخازن منبع باز که بعدا دانلود و در نرم افزار شرکت ادغام می شوند، نمونه بارز حمله سایبری زنجیره تامین است.

با حدود 1500 تغییر وابستگی در هر برنامه در هر برنامه، حفظ اکوسیستم های منبع باز فشار زیادی بر توسعه دهندگان وارد می کند و همیشه اشتباهاتی رخ می دهد.

شاید در نتیجه، Sonatype گزارش می دهد که این نوع فعالیت سایبری با افزایش 633 درصدی نسبت به سال قبل مواجه شده است.

با این حال، معتقد است راه حلی وجود دارد: در درجه اول، به حداقل رساندن وابستگی ها و افزایش سرعت به روز رسانی نرم افزار در نقاط پایانی. همچنین افزایش آگاهی از وابستگی های آسیب پذیر FOSS را در میان متخصصان مهندسی توصیه می کند.

شاید این مقاله را هم دوست داشته باشید :  سری UGREEN NASync: 6 چیز برتر که باید بدانید

Sonatype دریافت که بیش از دو سوم (68٪) مطمئن بودند که برنامه های آنها از کتابخانه های آسیب پذیر استفاده نمی کند، با وجود این واقعیت که همان درصد از برنامه های سازمانی – 68٪ – حاوی آسیب پذیری های شناخته شده در مؤلفه های نرم افزار منبع باز خود بودند.

علاوه بر این، مدیران فناوری اطلاعات بیش از دو برابر بیشتر از سایر همتایان خود در زمینه امنیت فناوری اطلاعات بر این باور بودند که شرکت های آنها به طور منظم در مرحله توسعه به مسائل نرم افزاری رسیدگی می کنند.

برای Sonatype، کسب و کارها باید فرآیند توسعه نرم افزار را با ابزارهای تر و دید بیشتر و اتوماسیون بهتر ساده و بهینه کنند.

حملات زنجیره تامین برخی از مخرب ترین حوادث سایبری در سال های اخیر بوده اند، از جمله حوادث مبتنی بر آسیب پذیری log4j و سازش SolarWinds. حتی امروزه، مجرمان سایبری با استفاده از نقص log4j، سازمان‌ها را در هر شکل و اندازه‌ای به خطر می‌اندازند.

از طریق VentureBeat ().

امیدواریم که این خبر مجله زوم نود و هشت مورد توجه شما قرار گرفته باشد

امتیاز بدهید

لینک کوتاه مقاله : https://5ia.ir/cIHDwt
کوتاه کننده لینک
کد QR :
اشتراک گذاری
سروناز مقدم پور

سروناز مقدم پور

سروناز مقدم پور هستم کارشناس مهندسی کامپیوتر و مدیر وبسایت نود و هشت زوم. چندین سال است که در حوزه وب فعالیت می کنم و تخصص های اصلیم طراحی سایت و سئو است بعد از یادگیری علاقه زیادی به آموزش دادن دارم

شاید این مطالب را هم دوست داشته باشید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *