‘ستتصل بمن؟’ حث أصحاب المصلحة في مجال أمن OSS على “التدفقات المتقاطعة”
في فيلم الخيال العلمي الكوميدي “Ghostbusters” الذي صدر في الثمانينيات، تم تحذير الأبطال من التأثير الكارثي المحتمل لعبور تيارات الطاقة البروتونية التي تدمر الأشباح. بالطبع، (تنبيه المفسد)، فإن عبور الجداول ينتهي به الأمر إلى أن يكون الحل في ذروة الفيلم.
في مجتمع البرمجيات مفتوحة المصدر (OSS)، غالبًا ما يعمل أصحاب المصلحة “المنبعون” (المطورون ومبدعو البرامج) وأصحاب المصلحة “المصبون” (المستهلكون والمستخدمون النهائيون) دون مدخلات من بعضهم البعض. يقول اثنان من الخبراء أن الوقت قد حان لكي يقوم أصحاب المصلحة “بتبادل التيارات” لمعالجة نقاط الضعف المحتملة.
خلال تقديمهم حفل الافتتاح مؤتمر فولكون في رالي، كارولاينا الشمالية، قال المقدمان كريستوفر روبنسون، مدير الاتصالات الأمنية في شركة Intel Product Assurance and Security، وماديسون أوليفر، مدير الأمن الأول في GitHub، إن الإطار المعقد للنظام البيئي للبرمجيات مفتوحة المصدر يستدعي اتباع نهج موحد.
قال أوليفر: “أود أن أطرح حجة مفادها أن عبور التدفقات والمصادر المفتوحة أمر ضروري للغاية وهو بالضبط ما يتعين علينا القيام به”. “نحن ندعو بشدة إلى ضرورة تجاوز جميع القرارات. لا تخف من التوجه إلى أعلى النهر، ولا تخف من النزول إلى أسفله… فالكشف في نهاية المطاف هو عملية إنسانية. والناس لديهم مشاعر ودوافع فردية. نحن لا نرى دائما وجها لوجه. عندما تكون هناك نقطة ضعف، فهذا وقت قلق في كل مكان.
وقال مقدمو العرض إن كلاً من الطرف الذي يبلغ عن ثغرة أمنية والطرف الذي يحتفظ بالبيانات المتأثرة يحتاج إلى خطوط اتصال واضحة – سواء كانوا في المنبع أو المصب في النظام البيئي.
“إنه يساعد حقًا على ضمان أن مشرف المشروع لديه حق الوصول إلى الموارد التي يحتاجها ليكون قادرًا على تحليل المشكلة، وإجراء اختبارات للتحقق من صحتها، ومن ثم القدرة على تطوير التصحيح… لذا، من المهم جدًا أن يتمكن المطورون من الوصول إلى قال روبنسون: “هذا التواصل[معأصحابالمصلحةفيالمصب)[withdownstreamstakeholders)”Robinsonsaid
اعتبارات الضعف الفريدة لـ OSS
قال أوليفر للجمهور إن تطوير البرمجيات مفتوحة المصدر يطرح مجموعة من التحديات الخاصة به عندما يتعلق الأمر بإدارة نقاط الضعف.
وقالت: “هناك الكثير من الأسباب التي تجعل OSS CVD (الكشف المنسق عن الثغرات الأمنية) صعبًا”. “إن تحديد من وكيفية الاتصال بشخص ما أمر معقد للغاية … من الذي يجب أن أخبره؟ وكيف يمكنني مشاركة هذا معهم؟ والأمر أكثر تعقيدًا مع المصادر المفتوحة لأنه لم يعد من الممكن الحفاظ على المشروع – كان من الممكن نقل الملكية.
وبسبب هذا التعقيد، يمكن أن تكون عملية الكشف عن الأمراض القلبية الوعائية لـ OSS أطول من عمليات الكشف الأخرى.
يقول روبنسون وأوليفر إن أصحاب المصلحة الذين يعملون على حل مشكلات الثغرات الأمنية في منتجات البرمجيات مفتوحة المصدر يمكنهم الحصول على المساعدة من خلال مؤسسة الأمن مفتوح المصدر، مجتمع من مطوري البرمجيات ومهندسي الأمن. وقال روبنسون: “نحن مجموعة من الأشخاص الذين يكرسون جهودهم لمحاولة المساعدة في رفع الملف الأمني للبرامج مفتوحة المصدر للنظام البيئي بأكمله”.
بناء فريق أمن OSS
على الرغم من أن ذلك قد يمثل تحديًا، إلا أنه يجب على المؤسسات التفكير في بناء فريق لمعالجة المخاوف الأمنية الفريدة المحيطة ببرمجيات المصدر المفتوح. وقال روبنسون: “نوصي ببناء فريق أمني من نوع ما”. “من الأسهل بكثير إنشاء هذه الأشياء قبل حدوث أزمة، بدلاً من محاولة وضع أجنحة الطائرة أثناء إقلاعها.”
يجب أن تشمل الجهود الأمنية أصحاب المصلحة من المنبع والمصب الذين يمكنهم إجراء محادثات مهمة خارج نطاق الرأي العام. “يجب أن يكون لديك أيضًا بعض الوسائل لتطوير التصحيحات بشكل خاص والتي لا توجد في مستودعك العام، لأن الأشرار يراقبون مستودعات التعليمات البرمجية المصدر باستمرار. إن امتلاك الوسائل اللازمة لاختبار التصحيح وتطويره بشكل خاص أمر بالغ الأهمية.
الذكاء الاصطناعي التوليدي وأمن OSS
مع ازدهار استخدام تقنية GenAI في جميع القطاعات، هناك مخاوف بشأن تعرض برمجيات المصدر المفتوح لهجمات الذكاء الاصطناعي. يقول أوليفر ردًا على سؤال من InformationWeek: “حتى الآن، كان للأشخاص الذين يستخدمون الذكاء الاصطناعي التوليدي للعثور على نقاط الضعف نتائج مختلطة”. “حتى هذه اللحظة، التأثير السلبي الذي رأيته هو أنه يحدث المزيد من الضجيج ويخلق المزيد من الأشياء التي يتعين على القائمين على صيانة المصادر المفتوحة الاستجابة لها – وآمل أن يتحسن ذلك بمرور الوقت.”
يقول روبنسون من إنتل إن أمن GenAI يمثل مصدر قلق كبير. “لدينا مجموعة عمل مخصصة لأمن الذكاء الاصطناعي والتعلم الآلي. وهم يتعاونون مع مجموعة من المؤسسات الأخرى عبر النظام البيئي.
يلاحظ أوليفر: “إنها مجرد طبقة أخرى من التعقيد”.