يقسس يهبط 4.6 مليون دولار للتدقيق والتقاط رمز المصدر المفتوح الخبيث

يقسس يهبط 4.6 مليون دولار للتدقيق والتقاط رمز المصدر المفتوح الخبيث


من المسلم به أن تأمين سلسلة التوريد للبرمجيات هو موضوع جاف إلى حد ما ، ولكن معرفة المكونات والرمز الذي يذهب إلى أجهزتك اليومية وأجهزتك جزءًا مهمًا من عملية تطوير البرمجيات التي يعتمد عليها مليارات الأشخاص كل يوم.

البرنامج يشبه أي منتج آخر تقوم ببنائه وشحنه ؛ يعتمد على استخدام المكونات التي قام بها الآخرون ، وغالبًا ما يكون في شكل رمز المصدر ، والتأكد من أنه لا يكسر أو لديه نقاط ضعف تعرض المنتج النهائي. تعتمد معظم برامج العالم على رمز المصدر المفتوح الذي كتبه المطورين الذين ينشرون عملهم لأي شخص لاستخدامه. وهذا يعني أيضًا الاعتماد على الثقة في أن المطورين سيتصرفون دائمًا بحسن نية. لكن يتم التخلي عن المشاريع والتقاطها من قبل الآخرين الذين يزرعون الخلفيات أو البرامج الضارة ، أو ، كما يتضح مؤخرًا منذ غزو روسيا لأوكرانيا ، وهو ارتفاع في برامج الاحتجاج ، حيث يغير مطورو البرمجيات مفتوح المصدر رمزهم لمسح محتويات أجهزة الكمبيوتر الروسية احتجاجًا على وقال إن توغل الكرملين.

Feross Aboukhadijeh ، وهو محلل مفتوح المصدر غزير الإنتاج ومؤسس Socket ، أخبر TechCrunch في مكالمة حديثة أن فرق التطوير غالبًا يتم إدخال الضعف في سلسلة التوريد وينتقل دون أن يلاحظه أحد.

البرنامج أسهل بشكل عام في الإصلاح من السيارات المستقلة والأجهزة الأخرى التي يجب استدعاؤها. لكن عواقب التسوية للبرنامج يمكن أن تكون قاسية واسعة النطاق. أدت تحديثات البرمجيات الملوثة إلى التسوية الجماعية لشبكات الحكومة الفيدرالية الأمريكية وهجمات الفدية واستهداف مديري كلمة مرور المؤسسة التي تهدف إلى سرقة أسرار الشركات الحساسة. المشرفون الذين شاهدوا بشكل مباشر بعض من أسوأ هجمات سلسلة التوريد في البرمجيات في البرية. وهكذا بدأ الفريق العمل على بناء تطبيق يمكن للمطورين استخدامه لاكتشاف وحظر إدخال التعليمات البرمجية الضارة المحتملة في مشاريعهم من ملايين مستودعات التعليمات البرمجية المفتوحة. من خلال العشرات من السلوكيات المعروفة ، تبحث عن مشكلات في الحزمة مثل تغييرات محتملة على الكود ، مثل إذا كانت الحزمة المفتوحة المصدر تعتمد عليها تبدأ فجأة في محاولة التواصل عبر الشبكة أو الوصول إلى شل ، والتي قد تشير إلى أن الحزمة قد تم اختراقها .

وصف Aboukhadijeh المقبس بأنه يقدم علامة على التغذية لقدرات حزمة مفتوحة المصدر من خلال إلقاء الضوء النظام.

لا يمكننا إخبارك على وجه اليقين ما إذا كانت الحزمة تتحدث إلى الشبكة هي علامة سيئة أم لا ، لأن ماذا لو كان خادم ويب - فمن الواضح أنها ستذهب بحاجة لفعل ذلك! قال أبوخاديه. لكن وجود هذه الرؤية المدمجة في عملية بناء البرامج هو ما يحتاجه المطورون لمنع هجوم سلسلة التوريد. وقال إن هذا ليس بعضًا من الذكاء الاصطناعي أو التعلم الآلي ، وهو يتحدث عن منتجه الخاص. لا توجد وسيلة لإخفاء أن الحزمة تعمل على تشغيل برنامج نصي للتثبيت ، ويتم إعلانه كجزء من الحزمة. فلماذا لا ترفع ذلك إلى انتباه المطور؟

لا يزال المقبس في أيامه الأولى ويدخل سوقًا مزدحمًا ، ولكنه يجذب الاستثمار بالفعل. جمعت بدء التشغيل في المرحلة المبكرة 4.6 مليون دولار من التمويل المستدير من البذور من أكثر من عشرة مستثمرات من الملاك وقادة الأمن ، بما في ذلك نات فريدمان ، الرئيس التنفيذي السابق للجيثوب ، المؤسس المشارك في القاعدة الرئيسية ماكس كرون ، فضلاً . سيء هل هذا الاختراق الذي ضرب الوكالات الحكومية الأمريكية؟

اخلاء مسؤولية! هذا المقال لا يعبر بالضرورة عن رأي جامعة الرازي