ما هو داخل البرامج التجارية ومفتوحة المصدر التي تستخدمها؟ ما مقدار ما كتبه البائع وما مقدار ما هو كود طرف ثالث؟ هل يمكن الوثوق بكل هذا الرمز؟
التهديدات حقيقية
تظهر الموجة الأخيرة من الهجمات الإلكترونية رفيعة المستوى بوضوح الآثار الجانبية للحوادث السيبرانية العدوانية. عرّض اختراق SolarWinds شبكات عملائهم لخطر الاختراق من قبل مجرمي الإنترنت. كشف هجوم Codecov عن تكامل المستخدمين المستمر / بيئات النشر المستمر للجهات الفاعلة في التهديد.
في كلتا الحالتين ، تتابع الهجوم على المنظمات في اتجاه آخر في هذا النظام البيئي - العملاء. الهجمات التي تشل البنية التحتية الحيوية لها تأثير أوسع بكثير. ليس فقط عملاء المؤسسة أو الخدمة المتضررة هم من يتأثرون - تمتد التموجات إلى الخارج لتشمل الصناعات غير ذات الصلة والمجتمع الأوسع.
أدى هجوم مايو 2021 ببرنامج الفدية على شركة كولونيال بايبلاين كومباني إلى إغلاق خط أنابيب بطول 5 و 500 ميل. من بين أنواع الوقود المكرر الأخرى ، يوفر خط الأنابيب 45 ٪ من إمدادات البنزين - 2.5 مليون برميل يوميًا من البنزين - إلى الساحل الشرقي. توقف توصيل البنزين ببساطة. ارتفعت الأسعار في المضخات بشكل كبير وبدأت عمليات الشراء بدافع الذعر. واضطر الآلاف من محطات الوقود إلى الإغلاق بسبب نقص الإمداد.
هجوم شركة كولونيال بايبلاين كان بدوافع مالية. لقد كان هجومًا ببرنامج الفدية ، وهو شكل شائع من أشكال الابتزاز الرقمي.دفعت شركة كولونيال بايبلاين لمجرمي الإنترنت فدية قدرها 75 بيتكوين - ما يقرب من 4.4 مليون دولار ، اعتمادًا على أسعار الصرف - لاستعادة أنظمتهم لهم.
ولكن إذا كان هذا عملاً من أعمال الإرهاب السيبراني أو الحرب الإلكترونية ، فلن يكون هناك خيار لشراء برنامج فك التشفير المطلوب لإعادة تشغيل الأنظمة المنكوبة على الإنترنت. يمكن لدولة قومية تتمتع بقدرات هجوم إلكتروني أن تجعل بلدًا آخر غير قادر على العمل داخليًا من خلال حملة هجمات إلكترونية استراتيجية.
الاستجابة للتهديدات
في 21 مارس 2021 ، وقع الرئيس بايدن أمرًا تنفيذيًا بشأن تحسين الأمن السيبراني في البلاد. يضع مجموعة من المعايير والمتطلبات التي يجب أن تلبيها أو تتجاوزها جميع أنظمة المعلومات الفيدرالية.
يتعامل القسم 4 من الأمر التنفيذي مع طرق تعزيز أمان سلسلة توريد البرامج. يضع هذا واجبات محددة بالتاريخ على الإدارات الحكومية لتوفير التوجيه والمعايير والإجراءات للعديد من جوانب تطوير البرامج وشرائها.يجب على بائعي البرامج استيفاء المعايير واتباع الإجراءات ليكونوا موردي برامج مؤهلين للحكومة.
يتم الاستشهاد بالشفافية كشرط. يجب على بائعي البرامج الكشف عن أي مكونات ومكتبات تابعة لجهات خارجية تم استخدامها في تطوير منتجاتهم. يتدرج هذا المطلب عبر سلسلة التوريد بحيث يجب على مزودي تلك المكتبات والمكونات بدورهم سرد أي مكونات برامج من مصادر خارجية قد استخدموها في منتجاتهم.
تم ذكر البرامج مفتوحة المصدر على وجه التحديد. يتحدث الأمر التنفيذي عن "ضمان وتصديق ، إلى أقصى حد ممكن عمليًا ، على سلامة ومصدر البرامج مفتوحة المصدر المستخدمة في أي جزء من المنتج".
هذا ليس مفاجئًا. وجد تقرير عام 2021 عن أمن المصادر المفتوحة أن متوسط عدد المكونات مفتوحة المصدر في المشاريع التجارية غير التافهة هو 528. وهذا يمثل زيادة بنسبة 259٪ عما كان عليه قبل خمس سنوات عندما كان المتوسط 84 مكونًا مفتوح المصدر لكل مشروع.
المصدر المفتوح كمستهلك
من الواضح أن المشاريع مفتوحة المصدر يجب أن تستجيب للمعايير والإجراءات التي سيتم تفعيلها كنتيجة للأمر التنفيذي. في البداية ، يجب أن يكون جزء الشفافية سهلاً. تقوم المشاريع مفتوحة المصدر بتعليق كود المصدر الخاص بها لأي نوع من التدقيق. لكن بالطبع ، تستخدم المشاريع مفتوحة المصدر مكونات أخرى مفتوحة المصدر ، والتي تستخدم مكونات أخرى مفتوحة المصدر ، وما إلى ذلك ، متداخلة مثل الدمى الروسية.
أيضًا ، تطبيقات البرامج لها تبعيات. يعتمدون على حزم البرامج الأخرى للعمل. باختيار تضمين مكون واحد مفتوح المصدر في مشروع التطوير الخاص بك ، قد تقوم عن غير قصد بتضمين العديد من المنتجات مفتوحة المصدر الأخرى على أنها تبعيات.
لذا فإن توفر شفرة المصدر الخاصة بك للمراجعة ليس كافيًا. تحتاج إلى تقديم قائمة بمكونات البرنامج في منتجك ، تمامًا مثل قائمة المواد الغذائية والمكونات الكيميائية الموجودة على غلاف قالب الحلوى.في عالم البرمجيات ، يُطلق على ذلك اسم فاتورة مواد البرامج ، أو SBOM.
فاتورة مواد البرمجيات
الأمن يبدأ بالمعرفة. تحتاج إلى معرفة ما لديك من أجل التأكد من تأمينه. هذا هو سبب أهمية سجلات أصول تكنولوجيا المعلومات وسجلات معالجة البيانات. يعد ess-bomb-واضحًا من SBOM مستندًا خاصًا بالتطبيق يسرد جميع عناصر البرنامج التي تشكل منتجًا برمجيًا.
هذه معرفة قيمة. إن امتلاكه يمكّن مستخدمي هذا البرنامج من اتخاذ قرارات أمنية. إذا كنت تعرف أجزاء المكون الموجودة في البرنامج ، والمخاطر المرتبطة بكل منها ، وخطورة كل خطر ، فيمكنك اتخاذ خيارات مدروسة ومدروسة.
قد تقرأ قائمة المكونات الموجودة على غلاف قالب الحلوى وتجد أنها تحتوي على شيء لديك حساسية تجاهه.باستخدام SBOM ، يمكنك مراجعة إصدارات الإنشاء وأرقام الإصدار لمكونات البرنامج وتحديد ما إذا كنت ستستمر أم لا. على سبيل المثال ، قد ترفض رفضًا قاطعًا استخدام منتج يتضمن (على سبيل المثال) telnet ، أو منتج يستخدم إصدارًا من SSH به ثغرة أمنية معروفة.
تجميع SBOM التفصيلي ليس مهمة مدتها خمس دقائق. ولكن يجب أن تكون دقيقة ومفصلة بما فيه الكفاية ، وإلا فلن تفي بالغرض منها. كحد أدنى ، لكل مكون برمجي في مشروع برمجي ، يجب أن تحتوي SBOM على:
- اسم المورد: البائع أو الأشخاص الذين كتبوا البرنامج.
- اسم المكون: اسم المكون
- معرف فريد: معرف فريد عالميًا (UUID).
- Version String: تفاصيل بناء وإصدار المكون.
- تجزئة المكون: تجزئة تشفير للمكون. يسمح هذا للمستلم بالتحقق ، إذا كانت لديه شكوك ، ما إذا كان قد تم تعديل الثنائي الذي تم تزويده به.
- العلاقة: تصف العلاقة بين مكونات البرنامج التبعيات بين المكونات والمكونات التي تم تجميعها وربطها بمكونات أخرى.
- Licensing: نوع الترخيص الذي تم إصدار مكون البرنامج بموجبه.
- اسم المؤلف: مؤلف SBOM. هذا ليس بالضرورة مورد البرنامج.
إذا كان هناك اعتماد واسع النطاق لـ SBOMs ، فيجب أن يكون هناك معيار يحدد تنسيقات البيانات ومحتوى البيانات والعمليات والقواعد المقبولة. من المحتمل أن يظهر هذا كجزء من التوجيه الذي طلب إنشاء الأمر التنفيذي.
هناك العديد من معايير SBOM المتنافسة. المتسابقون الثلاثة الأوائل في هذه المساحة هم تبادل بيانات حزمة البرامج (SPDX) ، ومعيار ISO 19770-5: 2013 Software Identification (SWID) ، و CycloneDX. سيكون من المثير للاهتمام معرفة ما إذا كانت الحكومة الفيدرالية قد اعتمدت أحد هذه المعايير كمعيار مفضل.
يمكن أن تساعد الأتمتة
عدة فئات من الأدوات يمكن أن تساعد في إنتاج واستخدام SBOMs. تتوفر حزم البرامج التي يمكنها مسح المشاريع وتحديد التبعيات وإنشاء SBOMs - أو SBOMs كاملة تقريبًا والتي يمكنك إسقاط بعض تفاصيل التشطيب فيها.
من المحتمل أن يتم توفير SBOMs إما كتنزيلات أو كجزء من البرنامج المعبأ ، مثل ملف "التمهيدي". بمجرد حصولك على SBOM الخاص بشخص آخر ، عليك مراجعته.
سيستغرق ذلك بعض الوقت. يجب التحقق من كل مكون للتأكد من أنه مسموح به وفقًا للمعايير التي حددتها مؤسستك ، وأن ترخيص كل مكون لا يسبب أي تعارضات بالنسبة لك.
يتوفر برنامج يمكنه إجراء هذه الفحوصات نيابة عنك. تسرد الحزم الأكثر شمولاً نقاط الضعف المعروفة لكل مكون وشدة تلك الثغرات.
الأمن يبدأ بالمعرفة
سيصبح مصدر حزم البرامج وجميع مكوناتها أداة حيوية لمستهلكي البرامج لتقييم واتخاذ قرارات الشراء. سيكون أيضًا عاملًا مميزًا لبائعي البرامج والمنتجين ، سواء قاموا بإنشاء برامج للمطورين الآخرين أو للمستخدمين النهائيين لاستخدامها.
