محمد بختیاری

گوگل ابزار جدیدی برای افزایش امنیت پروژه‌های متن‌باز معرفی کرد

گوگل نرم‌افزار منبع‌باز (Open Source Software یا به‌اختصار OSS) جدیدی معرفی کرده است که به کاربران اجازه می‌دهد بسته‌های امنیتی این شرکت را در پروژه‌های خود اعمال کنند.

همان‌طور که DigitalTrends اشاره می‌کند، نرم‌افزارهای منبع‌باز همچنان اهداف محبوبی برای مجرمان سایبری هستند و همان‌طور که گوگل در اعلامیه‌ی خود اشاره کرده است، تعداد حمله‌های سایبری به تأمین‌کنندگان منبع‌باز، سالانه ۶۵۰ درصد افزایش یافته است. زنجیره‌های تأمین نرم‌افزار اغلب از کد منبع‌باز استفاده می‌کنند تا همیشه دردسترس باقی بمانند و سفارشی‌سازی کدهای آن‌ها نیز آسان باشد؛ به‌همین دلیل این زنجیره‌ها دربرابر حملات سایبری آسیب‌پذیر هستند.

البته گوگل تنها شرکتی نیست که درزمینه‌ی مقابله با حملات سایبری به نرم‌افزارهای منبع‌باز فعالیت می‌کند. این شرکت در کنار OpenSSF و بنیاد لینوکس درحال پیگیری ابتکارات امنیتی جدیدی است که در اجلاس اخیر کاخ‌سفید درمورد امنیت منبع‌باز مطرح شد. مایکروسافت نیز به‌تازگی راهکار جدیدی برای امنیت سایبری مطرح کرده است.

درگذشته، آسیب‌پذیری‌های امنیتی سایبری پرمخاطبی مثل Log4j و Spring4Shell وجود داشت. گوگل در تلاش برای جلوگیری از وقوع چنین حملاتی، اکنون Assured OSS را معرفی کرده است.

گوگل امیدوار است با Assured OSS امکان استفاده از بسته‌های OSS خود را برای کاربران سازمانی و همچنین کاربران عادی فراهم کند. از سوی دیگر، این شرکت قول می‌دهد که بسته‌های مدیریت‌شده‌ی این سرویس به‌طور منظم اسکن، آزمایش و تجزیه‌وتحلیل شوند تا اطمینان حاصل کند که هیچ‌ آسیب‌پذیری نمی‌تواند از خط دفاعی آن عبور کند.

گوگل CloudBuild

مقاله‌ی مرتبط:

همه‌ی بسته‌های امنیتی گوگل با سرویس Cloud Build این شرکت ساخته می‌شوند و بنابراین با سازگاری قابل تأیید ارائه خواهند شد. SLSA مخفف Supply-chain Levels for Software Artifacts است؛ چارچوب شناخته شده‌ای که هدف آن استانداردسازی امنیت زنجیره‌‌های تأمین نرم‌افزار است. هر بسته همچنین با تأییدیه‌ی گوگل امضا و با ابرداده‌ی مرتبط و همچنین داده‌های تجزیه‌وتحلیل گوگل ارائه می‌شود.

گوگل برای تمرکز بیشتر بر امنیت سایبری، همکاری جدیدی با SNYK (یک پلتفرم امنیتی توسعه‌دهندگام) آغاز کرده است. OSS از همان ابتدا با راهکارهای SNYK ادغام می‌شود و درنتیجه مشتریان هر دو شرکت می‌توانند از آن بهره ببرند.

گوگل همچنین به آماری خیره‌کننده اشاره کرد؛ تا ژانویه ۲۰۲۲ از میان ۵۵۰ پروژه‌ی منبع‌باز رایج که به‌طور منظم اسکن می‌شوند، بیش از ۳۶ هزار آسیب‌پذیری کشف شده است. این آمار به‌تنهایی نشان می‌دهد که مهار کردن آسیب‌پذیری‌ها در جامعه‌ی منبع‌باز چقدر اهمیت دارد. مطمئناً بسیاری از کاربران و حتی سازمان‌ها به پروژه‌های منبع‌باز محبوب نیاز دارند و شاید Assured OSS گوگل بتواند این پروژه‌ها را برای همه‌ی افرادی از آن‌ها استفاده می‌کنند، ایمن‌تر کند.

پاسخی بنویسید