ال تم اكتشاف الباب الخلفي في XZ Utils أطلقت برامج ضغط البيانات في وقت سابق من هذا العام موجة من المناقشات حول مخاطر البرامج مفتوحة المصدر. إن معالجة هذه المخاطر ليست بسيطة مثل قرار قيادة المؤسسة بالتوقف عن استخدام البرمجيات مفتوحة المصدر. في الواقع، مسار العمل هذا أقرب إلى المستحيل.
“إن الغالبية العظمى من لغات البرمجة (وأدواتها الأساسية) مفتوحة المصدر، وتلك التي لم تنقرض في طريقها إلى الانقراض. وبدون أدنى شك، فإن التقنيات مفتوحة المصدر هي الأسس ذاتها التي بني عليها العالم الرقمي. سونار، مطور برامج مفتوحة المصدر لجودة التعليمات البرمجية المستمرة، يقول InformationWeek في مقابلة عبر البريد الإلكتروني.
ورقة عمل من كلية هارفارد للأعمال، “قيمة البرمجيات مفتوحة المصدر“، تشير التقديرات إلى أن قيمة جانب الطلب للبرمجيات مفتوحة المصدر تبلغ 8.8 تريليون دولار، وهو رقم مذهل يرسم صورة واضحة لمدى جوهرية المصادر المفتوحة في العالم الحديث.
كيف يبدو الاعتماد على البرمجيات مفتوحة المصدر اليوم، وكيف يمكن لقادة المؤسسات الموازنة بين المخاطر والمكافآت التي تأتي معها؟
استخدام المصادر المفتوحة اليوم
ستتعرض لضغوط شديدة للعثور على حزمة تقنية مؤسسية لا تعتمد بطريقة ما على التعليمات البرمجية مفتوحة المصدر. تتمتع مجموعات البرامج العمودية بتغلغل مفتوح المصدر بنسبة تتراوح بين 20% إلى 85%، وفقًا لمؤسسة Linux. أكثر من 90% من خوادم الويب والأجهزة المتصلة بالإنترنت تعمل على نظام Linuxوهو أحد أنظمة التشغيل مفتوحة المصدر الأكثر شهرة واستخدامًا. ونظام Linux هو مجرد جزء واحد من عالم واسع مفتوح المصدر يحتوي على مشاريع ضخمة تضم آلاف المساهمين، بالإضافة إلى مشاريع عاطفية صغيرة تم إطلاقها وصيانتها بواسطة عدد قليل من المطورين.
في العالم التعاوني للبرمجيات مفتوحة المصدر، يمكن لأي شخص رؤية التعليمات البرمجية والمساهمة فيها، مما يعزز وظائفها.
يقول: “عندما يتمكن المبرمجون من مشاركة عملهم والبناء على المشاريع الحالية، فإن هذا يعزز ثقافة التحسين المستمر وحل المشكلات بشكل جماعي”. دين الاسلام. “إن المبادرات مفتوحة المصدر تعمل أيضًا على إضفاء الطابع الديمقراطي على التكنولوجيا، مما يقلل من حاجز دخول الأفراد والمنظمات.”
تتمتع البرمجيات مفتوحة المصدر بالقوة الجماعية للأشخاص في جميع أنحاء العالم الذين يستخدمون مهاراتهم لحل التحديات المشتركة، ويتم بناء الشركات على هذه القوة الجماعية.
“هو – هي [is] في الأساس طلب مستحيل [any] منظمة لتقول، “أوه، نحن فقط ننشئ إطار اللغة الخاص بنا. يقول نايجل دوغلاس، كبير المدافعين عن المطورين في شركة الأمن السحابي: “سيكون لدينا حزمنا الخاصة ولن يكون كل شيء مبنيًا على مصادر مفتوحة”. سيسديج.
من هم الأشخاص الذين يقومون ببناء البرمجيات مفتوحة المصدر؟ العديد منهم هم مطورون فرديون يستخدمون مهاراتهم للمساهمة في مشروع يثير شغفهم؛ هو العمل من الحب. “قد لا تتمكن أبدًا من توظيفهم، لكنهم على استعداد للمساهمة بوقتهم لأن هذا شيء يجدونه رائعًا ومثيرًا للاهتمام،” تيم ماكي، رئيس استراتيجية مخاطر سلسلة توريد البرمجيات في ملخص، وهي شركة برمجيات تخدم عملاء أشباه الموصلات والأنظمة، كما تقول InformationWeek.
بعض هؤلاء الأفراد قد يحولون هذا الشغف إلى مهنة. بدأ سيث مايكل لارسون العمل في مجال المصادر المفتوحة في عام 2016. وكان لديه اهتمام بتقنيات الإنترنت والشبكات، وهو اهتمام لم تتح له الفرصة لاستكشافه في وظيفته في ذلك الوقت. “انتهى بي الأمر بالعمل حتى أصبح رائدًا في إحدى حزم Python الأكثر تنزيلًا، وهي urllib3،” يقول.
ومع استمراره في هذا المسار، تقدم بطلب للحصول على وظيفة كمطور أمني مقيم في شركة مؤسسة برمجيات بايثون. غالبًا ما تعمل المؤسسات مفتوحة المصدر مثل هذه بتمويل خارجي. الفا اوميجا، وهو مشروع مرتبط بمؤسسة Open Source Security Foundation (OpenSSF)، ويتم تمويله من قبل عمالقة التكنولوجيا Microsoft وGoogle وAmazon. في عام 2022، ألفا أوميغا التزمت بمبلغ 800000 دولار إلى مؤسسة برمجيات بايثون ومؤسسة إكليبس.
قد تقوم المؤسسات الكبيرة بتوظيف فرق كاملة من الأشخاص للمساهمة في المشاريع مفتوحة المصدر. “قام العديد من كبار موردي التكنولوجيا (AWS، وGoogle، وMeta، وما إلى ذلك) بتوظيف أشخاص عملوا على نطاق واسع في مشاريع مفتوحة المصدر. يستطيع هؤلاء الأشخاص بعد ذلك مواصلة عملهم بينما يحصلون على أموال مقابل العمل مع المجتمعات التي ينتمون إليها،” بول هوكينز، رئيس قسم تكنولوجيا المعلومات في شركة تشفير البيانات. CipherStash“، يقول في مقابلة عبر البريد الإلكتروني.
المشرفون هم من يحكمون على التغييرات التي يمكن إجراؤها على مشروع محدد مفتوح المصدر. يوضح ماكي: “يتم التحقق من هوية الشخص الذي يأتي كمشرف بشكل أساسي استنادًا إلى جودة التعليمات البرمجية التي يساهم بها”.
في حين أن هناك مسارات لتصبح مساهمين مدفوعي الأجر في المصادر المفتوحة، فإن العديد من المطورين في المجتمع يتطوعون بمهاراتهم ووقتهم مجانًا. ال 2023 حالة Tidelift لتقرير صيانة المصدر المفتوح وجد أن 60% من القائمين على الصيانة هم هواة بدون أجر.
“ما لم يصبح المشروع كبيرًا جدًا وعنصرًا أساسيًا في تطوير البرمجيات، فلن يكون هناك الكثير من التعويضات. يقول إسلام: “عادةً ما تحتوي المشاريع على زر صغير للتبرع، ولكن هذا كل ما في الأمر”.
إن المجال المفتوح على نطاق واسع لمجتمع المصادر المفتوحة – حيث يتم الحكم على المساهمات على أساس الجدارة وحدها – يعني أنه حتى الطلاب يمكنهم المشاركة كجزء من تعليمهم.
مخاطر المصادر المفتوحة
جميع البرامج، سواء كانت مملوكة أو مفتوحة المصدر، تأتي مع المخاطر. فمن ناحية، فإن قدرة أي شخص، في أي مكان، على المساهمة في مشروع ما، تعني أن البرمجيات مفتوحة المصدر تتمتع بميزة مهارة أكبر مما يمكن أن توظفه مؤسسة بمفردها. ومن ناحية أخرى، فإنه يترك مجالاً لتحديات الاستمرارية.
يوضح إسلام: “تموت المشاريع لعدة أسباب، مثل عدم وجود عدد كافٍ من الأشخاص المستعدين لصيانتها باستمرار أو عدم وجود تعويض كافٍ للقيام بذلك”.
في حين أن الطبيعة التعاونية لمجتمع المصادر المفتوحة تعد فائدة لا يمكن إنكارها، إلا أنها يمكن أن تجتذب أيضًا الجهات الفاعلة الخبيثة. “مهاجم[s] يقول أميت مالك، مدير أبحاث التهديدات في الشركة: “سيكون لديهم أيضًا إمكانية الوصول إلى هذا الرمز، ويمكنهم فهم هذا الرمز”.Uptycs، منصة حماية التطبيقات السحابية الأصلية. “يمكنهم تحديد نقاط الضعف داخل التعليمات البرمجية، ويمكنهم استخدام هذه الثغرة الأمنية في تلك الأشياء لاختراق الأجهزة.”
على الرغم من أن الجهات الفاعلة في مجال التهديد تبحث دائمًا عن طرق لاستغلال نقاط الضعف، إلا أن التعليمات البرمجية مفتوحة المصدر متاحة دائمًا للتدقيق. يقول هوكينز: “هذا يعني أن هناك عيونًا كثيرة على الكود، مما يزيد من احتمالية العثور على المشكلات”.
البرمجيات مفتوحة المصدر، على عكس البرامج التجارية، ليست مصممة خصيصًا للمؤسسات. قد يحل مشكلة معينة تشترك فيها العديد من المؤسسات، لكن مطوري المصادر المفتوحة ليسوا مثل البائعين. تحتاج فرق المؤسسات إلى توخي الحذر عند وضع البرامج مفتوحة المصدر في الخدمة. قد يحل مشكلة معينة، ولكن هل يتمتع بالنوع الأساسي من الأمان الذي تتوقعه المؤسسات عند شراء أحد البرامج؟
يقول دوجلاس: “علينا أن نقبل أن أنظمة التشغيل مبنية على توزيع كبير لحزم التبعيات المختلفة، وسيكون هناك عنصر مخاطرة في الأمر”.
في حين أن بعض المخاطر أمر لا مفر منه، إلا أن فرق المؤسسة تحتاج إلى فهم تلك المخاطر واستخدام البرامج مفتوحة المصدر وفقًا لذلك.
يقول هوكينز: “بوصفي كبير مسؤولي أمن المعلومات، فإن الخطر الأكبر الذي أراه هو أن المؤسسات لا تكون متعمدة بشأن كيفية استخدام البرامج مفتوحة المصدر”. “إنه لأمر قيم للغاية أن نبني على رأس هذه المشاريع العظيمة، ولكن عندما نفعل ذلك، نحتاج إلى التأكد من أننا نفهم تبعياتنا. يعد تضمين تقييم المكونات مفتوحة المصدر بالإضافة إلى المكونات المطورة داخليًا أمرًا أساسيًا للقدرة على الدقة [understand] وضعنا الأمني».
تختلف البرامج مفتوحة المصدر بطبيعتها عن البرامج التجارية، ولكنها لن تخدم المؤسسات في التعامل مع هذا النظام البيئي كمورد مجاني تمامًا سيكون موجودًا دائمًا عندما يحتاجون إليه.
يقول لارسون: “إذا واصلنا التعامل مع هذا باعتباره موردًا استخراجيًا لا نهائيًا دون المساهمة في المقابل، ودون القيام بشيء للحفاظ عليه، فسينتهي الأمر بالتسبب في قدر كبير من الفوضى”.
حادثة XZ Utils ونقاط الضعف مفتوحة المصدر
إن انتشار البرمجيات مفتوحة المصدر في كل مكان يعني أن نقاط الضعف يمكن أن يكون لها عواقب واسعة النطاق. تعد حادثة XZ Utils مثالًا جيدًا على التداعيات المحتملة للثغرة الأمنية في مكون مفتوح المصدر مستخدم على نطاق واسع.
قضى الممثل الرئيسي المتورط في الحادث عامين في التسلل إلى مجتمع المصادر المفتوحة، وفي النهاية قام بدور المشرف. وفي هذا الموقف، تمكنوا من حقن تعليمات برمجية ضارة في نسختين من برنامج XZ Utils. يتم استخدام XZ Utils في العديد من توزيعات Linux. إذا كانت الإصدارات التي تحتوي على هذا الباب الخلفي قد تم توزيعها على نطاق واسع، فمن الممكن أن تكون قد سهّلت وصولاً كبيرًا غير مصرح به إلى النظام.
على الرغم من أن الحادث أثار إنذارًا واسع النطاق بشأن مخاطر المصادر المفتوحة، إلا أنه كان في بعض النواحي أيضًا بمثابة عرض لمرونة مجتمع المصادر المفتوحة. ويشير لارسون إلى أنه “لقد كان نجاحًا بالنسبة للمصادر المفتوحة لأن الرؤية التي تمتع بها هذا الأمر سمحت … لأفضل الباحثين والمحللين الأمنيين في فئتهم بتقييم الأمر في غضون ساعات”.
تم اكتشاف الباب الخلفي XZ Utils قبل أن يتسبب في ضرر كبير، لكن هذا لا يعني أن شيئًا مشابهًا لن يحدث في المستقبل، وبنجاح أكبر للمهاجم.
“شيء مثل XZ… سيحدث في النهاية إلى حد ما. يقول مالك: “لا نعرف متى وكيف سيحدث ذلك”.
تؤثر الآلاف من نقاط الضعف، سواء كانت ناجمة عن خطأ في التعليمات البرمجية أو عن نية خبيثة، على مساحة مفتوحة المصدر كل عام. وسواء تم استغلال نقاط الضعف هذه بالفعل أم لا، فهذه مسألة أخرى.
