اقدامات ویژه گوگل برای تأمین امنیت زنجیره تأمین

کمیته رکن چهارم – گوگل قصد دارد در تأمین امنیت زنجیره تأمین برنامه‌های منبع باز به صورت رایگان سهمی داشته باشد.

نرم افزار منبع باز Assured (Assured OSS) گوگل، سرویس جدیدی که از مخازن منبع باز در برابر حملات زنجیره تأمین محافظت می‌کند، اکنون برای همه در دسترس است.

یک سال پس از اعلام اولیه این سرویس، گوگل در اوایل این هفته آن را در دسترس عموم قرار داد و در میان گمانه‌زنی‌ها در مورد قیمت آن، تصمیم غافلگیرکننده‌ای برای ارائه رایگان آن گرفته است. کسانی که علاقه مند به ارائه Assured OSS هستند فقط باید یک حساب کاربری جدید ثبت کنند.

امروزه توسعه نرم‌افزار به شدت بر کد منبع باز متکی است. توسعه‌دهندگان از سراسر جهان قطعه کدهایی را ایجاد می کنند که سپس از طریق مخازنی مانند گیت‌هاب، PyPI و سایرین با جامعه توسعه گسترده‌تر به اشتراک گذاشته می‌شود. این به توسعه‌دهندگان دیگر اجازه می‌دهد تا آن کد را دریافت کرده و آن را در راه‌حل‌های خود پیاده‌سازی کنند، بدون اینکه نیازی به صرف ساعت‌های بیش از حد برای ساختن عناصر از ابتدا داشته باشند.

با این حال، این یک فرصت منحصر به فرد برای عاملان تهدید است. اگر به حساب‌های توسعه‌دهنده نفوذ کنند، می‌توانند بسته‌های موجود را با کدهای مخرب تغییر دهند. اگر آن کد مخرب در نهایت در چندین راه‌حل ادغام شود، درهای زیادی را به روی هکرها باز می‌کند تا داده‌های حساس را سرقت کنند، بدافزار مرحله دوم را مستقر کنند و موارد دیگر.

حتی اگر به حساب‌ها نفوذ نکنند، هکرها اغلب درگیر typosquatting می‌شوند و بسته‌هایی را ایجاد می‌کنند که تقریباً شبیه بسته‌های قانونی هستند. به این ترتیب، توسعه‌دهندگانی که بیش از حد کار می‌کنند، یا کسانی که تحت فشار قرار می‌گیرند، ممکن است به اشتباه بسته اشتباهی را دانلود کنند و در نتیجه محصولات خود را به خطر بیندازند.

این حمله که به عنوان «حمله زنجیره تأمین» شناخته می‌شود، در سال‌های اخیر به یک عامل نسبتاً رایج جرایم سایبری تبدیل شده است. به عنوان مثال، سال گذشته سوناتایپ گزارش داد که بین سال های ۲۰۱۹ تا ۲۰۲۲، بیش از ۹۵ هزار بسته مخرب جدید وجود داشته است که تنها در سال ۲۰۲۱ تعداد ۵۵ هزار بسته بود. این افزایش ۷۰۰ درصدی در حملات مخزن طی این سه سال بود.

تقریباً هر کسب و کار مدرن به منبع باز متکی است. برایان فاکس، یکی از بنیانگذاران و مدیر ارشد فناوری سوناتایپ، گفت: واضح است که استفاده از مخازن منبع باز به عنوان نقطه ورود برای حملات مخرب هیچ نشانه‌ای از کاهش سرعت را نشان نمی‌دهد و تشخیص زودهنگام آسیب‌پذیری‌های امنیتی شناخته شده و ناشناخته را مهم‌تر از همیشه می‌کند.

وی افزود: توقف اجزای مخرب قبل از ورود به در، یک عنصر اساسی پیشگیری از خطر است و باید بخشی از هر مکالمه پیرامون حفاظت از زنجیره تأمین نرم‌افزار باشد.

اکنون، گوگل می گوید که کتابخانه‌ها را به‌روز نگه می دارد و دائماً برای نقص‌های شناخته شده اسکن می‌شود. همچنین تست‌های فازی را برای جستجوی آسیب‌پذیری‌های جدید اجرا می‌کند و در حال توسعه اصلاحات است.

منبع: Techradar