اقدام گوگل برای افزایش امنیت پروژه‌های متن‌باز

امنیت فضاهای سایبری و مجازی از مهم‌ترین دغدغه‌های کاربران و شرکت‌های فناوری است. ابزارهای مرتبط با فضای مجازی و سایت‌ها به‌طور مستمر با حملات سایبری روبه‌رو هستند. در این خصوص امروز گوگل ابزار تازه‌ای برای افزایش امنیت پروژه‌های متن‌باز معرفی کرد که به‌گفته دست‌اندرکاران این غول فناوری، می‌تواند تا حدود زیادی امنیت این پروژها را افزایش دهد. گوگل درحالی این ابزار جدید را معرفی کرد که حمله‌های سایبری افزایش یافته است و حالا گوگل درصدد است با ابزار امنیتی جدید خود امنیت پروژه‌های متن‌باز را افزایش دهد.

نرم‌افزار منبع‌باز  Open Source Software

اکنون گوگل نرم‌افزار منبع‌باز Open Source Software (یا به‌اختصار OSS) جدیدی معرفی کرده است که به کاربران امکان می‌دهد بسته‌های امنیتی این شرکت را در طرح‌ها و پروژه‌های خود اعمال کنند.
در این خصوص DigitalTrends اعلام کرد که نرم‌افزارهای منبع‌باز کماکان اهداف محبوبی برای مجرمان سایبری محسوب می‌شوند و براساس اعلامیه گوگل، شمار حملات سایبری به تأمین‌کنندگان منبع‌باز، سالانه با ۶۵۰ درصد رشد مواجه است. زنجیره‌های تأمین نرم‌افزار اغلب از کد منبع‌باز بهره می‌برند تا به‌طور مستمر دردسترس باقی بمانند و سفارشی‌سازی کدهای آن‌ها نیز راحت باشد؛ به‌همین خاطر، این زنجیره‌ها درمقابل حملات سایبری آسیب‌پذیر هستند.

مقابله شرکت‌های دیگر با حملات سایبری

با این‌حال گوگل تنها شرکتی نیست که در موضوع مقابله با حملات سایبری به نرم‌افزارهای منبع‌باز فعالیت می‌کند. این شرکت به‌همراه OpenSSF و بنیاد لینوکس مشغول پیگیری ابتکارات امنیتی جدیدی است که در اجلاس اخیر کاخ‌سفید درخصوص امنیت منبع‌باز مطرح شد. مایکروسافت نیز اخیرا روش جدیدی برای امنیت سایبری مطرح کرده است.
سال‌های قبل، آسیب‌پذیری‌های امنیتی سایبری پرمخاطبی مانند Log4j و Spring4Shell وجود داشت. درحال‌ حاضر، گوگل برای پیشگیری از وقوع چنین حملاتی،Assured OSS  را معرفی کرده است.
درحال‌ حاضر، گوگل امیدوار است با Assured OSS امکان استفاده از بسته‌های OSS خود را برای کاربران سازمانی و همچنین کاربران عادی ایجاد نماید.
علاوه‌بر این، گوگل قول داد که بسته‌های مدیریت‌شده‌ی این سرویس به‌صورت منظم اسکن، تست و تجزیه‌وتحلیل شوند تا مطمئن شود که هیچ‌ خطر و آسیب‌پذیری نمی‌تواند از خط دفاعی آن عبور کند.

سرویس  Cloud Build

تمام بسته‌های امنیتی گوگل با سرویس Cloud Build این شرکت تولید می‌شوند درنتیجه با سازگاری قابل تأیید عرضه خواهند شد. SLSA مخفف Supply-chain Levels for Software Artifacts است؛ چارچوب شناخته شده‌ای که منظور آن استانداردسازی امنیت زنجیره‌‌های تأمین نرم‌افزار می‌باشد.
علاوه‌بر آن هر بسته با تأییدیه‌ی گوگل امضا و با ابرداده‌ی مرتبط و همچنین اطلاعات و داده‌های گوگل ارائه می‌شود.
با این‌حال گوگل برای تمرکز بیشتر بر موضوع امنیت سایبری، همکاری جدیدی با SNYK (یک پلتفرم امنیتی توسعه‌دهندگام) شروع کرده است.OSS  از همان ابتدا با راهکارهای SNYK یکپارچه می‌شود بنابراین مشتریان هر دو شرکت می‌توانند از آن استفاده ‌کنند.

کشف بیش از 36 هزار آسیب‌پذیری

علاوه‌بر این، گوگل با ارائه آماری خیره‌کننده اعلام کرد که تا ژانویه ۲۰۲۲ از بین ۵۵۰ پروژه‌ی منبع‌باز رایج که به‌صورت منظم اسکن می‌شوند، بیش از ۳۶ هزار آسیب‌پذیری کشف و شناسایی شده است.
این آمار از این موضوع حکایت دارد که مهار کردن آسیب‌پذیری‌ها در جامعه‌ی منبع‌باز چقدر اهمیت دارد. به‌طور قطع بسیاری از کاربران و حتی سازمان‌ها به طرح‌های منبع‌باز محبوب احتیاج دارند و ممکن است Assured OSS گوگل قادر باشد این طرح‌ها را برای تمام کسانی‌که از آن‌ها استفاده می‌کنند، ایمن‌تر نماید.

علی حبیبی