آینده امنیت نرم افزار منبع باز در سال 2025 چیست؟

از


نرم افزار منبع باز در سراسر دنیای فناوری رایج است و ابزارهایی مانند تجزیه و تحلیل ترکیب نرم افزار می توانند وابستگی ها را شناسایی کرده و آنها را ایمن کنند. با این حال، کار با منبع باز در مقایسه با نرم افزارهای اختصاصی، چالش های امنیتی را به همراه دارد.

کریس هیوز، مشاور ارشد امنیتی در استارتاپ امنیتی نرم‌افزار متن‌باز Endor Labs، با TechRepublic درباره وضعیت امنیت نرم‌افزار متن‌باز امروز و جایی که ممکن است در سال آینده به آن برسد، صحبت کرد.

هیوز گفت: «سازمان‌ها شروع به تلاش برای دستیابی به برخی چیزهای اساسی مانند حکمرانی برای درک آنچه ما از نظر منبع باز استفاده می‌کنیم، هستند. «در کجای شرکت ما قرار دارد؟ چه برنامه هایی آن را اجرا می کنند؟»

روندهای امنیتی منبع باز برای سال 2025

هیوز برای کارش تعریف کرد منبع باز به عنوان نرم افزاری که کد منبع آن به صورت رایگان در دسترس است و می توان از آن برای ساخت پروژه های دیگر، احتمالاً با برخی محدودیت ها، استفاده کرد. سال گذشته، مدرسه بازرگانی هاروارد دریافت که سازمان‌ها باید سرمایه‌گذاری کنند 8.8 تریلیون دلار در فناوری و زمان کار برای بازآفرینی نرم افزار مورد استفاده در تجارت اگر نرم افزار منبع باز در دسترس نبود.

هیوز می‌گوید: «تخمین‌ها حاکی از آن است که ۷۰ تا ۹۰ درصد از همه برنامه‌ها منبع باز هستند و تقریباً ۹۰ درصد از این پایه‌های کد کاملاً از منبع باز تشکیل شده‌اند.

هیوز برای سال 2025 پیش بینی می کند:

  • پذیرش گسترده نرم افزار منبع باز با حملات پیچیده فزاینده ای به OSS توسط عوامل مخرب همراه خواهد بود.
  • سازمان‌ها به ایجاد حاکمیت اساسی OSS ادامه خواهند داد.
  • شرکت‌های بیشتری از ابزارهای منبع باز و تجاری برای کمک به درک مصرف OSS خود استفاده خواهند کرد.
  • سازمان‌ها مصرف آگاهانه از OSS را انجام خواهند داد.
  • شرکت ها همچنان به تلاش برای شفافیت فروشنده در مورد آنچه OSS در محصولات خود استفاده می کنند، ادامه خواهند داد. با این حال، هیچ دستور العمل گسترده ای برای این فرآیند ایجاد نخواهد شد.
  • هوش مصنوعی به روش‌های مختلف، از جمله سازمان‌هایی که از هوش مصنوعی برای تجزیه و تحلیل کد و رفع مشکلات استفاده می‌کنند، بر امنیت برنامه‌ها و منبع باز تأثیر می‌گذارد.
  • مهاجمان کتابخانه‌ها، پروژه‌ها، مدل‌ها و موارد دیگر OSS AI را هدف قرار خواهند داد تا حملات زنجیره تامین را به جامعه هوش مصنوعی OSS و فروشندگان تجاری انجام دهند.
  • حاکمیت کد هوش مصنوعی، جایی که سازمان‌ها در مدل‌های هوش مصنوعی بیشتر دیده می‌شوند، رایج‌تر خواهد شد.

هیوز گفت: سازمان ها به طور فزاینده ای می خواهند بدانند نرم افزار منبع باز آنها چقدر ایمن است، از جمله اینکه “چقدر از آن نگهداری می شود، چه کسی آن را حفظ می کند و با چه سرعتی آسیب پذیری ها را در زمان وقوع آنها برطرف می کنند.”

او حمله در آوریل 2024 را برجسته کرد که در آن رشته ای از تلاش های مهندسی اجتماعی ابزارهای منبع باز را تهدید می کند، به ویژه باز کردن یک درب پشتی در ابزار XZ Utils.

هیوز گفت: «این یکی واقعاً به نوعی شوم بود، زیرا اکوسیستم منبع باز تا حد زیادی توسط داوطلبان بدون دستمزد پشتیبانی می‌شود، افرادی که این کار را در اوقات فراغت خود انجام می‌دهند… و اغلب جبران نشده، بدون دستمزد، و غیره.» “بنابراین، استفاده از آن و شکار آن چیز بسیار شرورانه ای بود که توجه بسیاری از مردم را به خود جلب کرد.”

هوش مصنوعی چگونه امنیت منبع باز را تغییر می دهد؟

در اکتبر 2024، ابتکار منبع باز تأسیس شد یک تعریف برای هوش مصنوعی منبع باز بر اساس این ابتکار، هوش مصنوعی منبع باز دارای چهار عنصر کلیدی است: آزادی استفاده، مطالعه، تغییر و به اشتراک گذاری سیستم برای هر هدفی.

هیوز گفت که تعریف هوش مصنوعی منبع باز به دلیل ظهور پلتفرم های توزیعی مانند این مهم است صورت در آغوش گرفته.

او گفت: «این مدل‌های هوش مصنوعی، به‌ویژه مدل‌های منبع باز، به‌طور گسترده توسط بسیاری از سازمان‌ها و افراد در سراسر جهان استفاده می‌شوند. “بنابراین ما دوباره به این سوال برگشتیم: دقیقاً چه چیزی در این وجود دارد و چه کسی در آن مشارکت داشته است و کجاست؟

رام؟ و آیا اجزای آسیب‌پذیری وجود دارد؟»

هیوز گفت که شرکت های بزرگ ممکن است نسبت به شرکت های کوچک شانس بیشتری برای صحبت شفاف با فروشندگان خود در مورد کل زنجیره تامین نرم افزار خود داشته باشند. بنابراین، مشکل عدم مشاهده مدل‌های هوش مصنوعی مورد استفاده در نرم‌افزار آنها می‌تواند برای شرکت‌های کوچک‌تر به طور تصاعدی رشد کند.

ببینید: سازندگان دستگاه های خانه هوشمند به زودی می توانند برای یک درخواست دهند مهر تایید امنیتی دولت ایالات متحده.

CISA امنیت توسعه نرم افزار منبع باز را تشویق می کند

در مارس 2024، CISA نهایی شد فرم خود گواهی توسعه نرم افزار امن، برای توسعه دهندگان نرم افزارهایی است که توسط دولت فدرال ایالات متحده استفاده می شود تا تأیید کنند که از روش های توسعه ایمن استفاده می کنند.

سازمان‌های فدرال ممکن است فرم‌ها و گواهی‌های دیگری را نیز درخواست کنند. در جنبه تجاری، سازمان ها ممکن است الزامات مشابهی را در فرآیندهای تدارکات خود ایجاد کنند. هنوز یک عنصر اعتماد وجود دارد زیرا سازمان باید اعتماد کند که فروشنده به قول خود پایبند است. هیوز گفت، اما این گفتگو در حال حاضر بیشتر از سال گذشته اتفاق می افتد، پس از حملات به ابزارهای منبع باز.

راه حل هایی برای آینده امنیت نرم افزار منبع باز

هیوز گفت که انجام تجزیه و تحلیل ترکیب نرم افزار برای رفتن به سال 2025 کافی نیست. هیوز گفت، متخصصان فناوری اطلاعات و متخصصان امنیت باید بدانند که با پیچیده‌تر شدن نرم‌افزار، تعداد آسیب‌پذیری‌ها افزایش یافته است «تا جایی که حتی برای برنامه‌نویسان مالیاتی می‌شود که باید اصلاح شوند و چه ترتیبی اولویت دارند».

شرکت‌هایی مانند Endor Labs می‌توانند بینش‌هایی درباره وابستگی‌ها در متن باز ارائه دهند کد، از جمله وابستگی های غیر مستقیم یا گذرا.

او گفت: «توانایی اشاره به مواردی مانند قابلیت دسترسی و بهره‌برداری… می‌تواند از دیدگاه انطباق نیز یک مزیت بزرگ باشد، از نظر باری که بر دوش سازمان و تیم توسعه شما وارد می‌شود.»



منبع: https://www.techrepublic.com/article/open-source-software-security-trends-2025/