خیلی باز؟ ممنوعیت لینوکس دانشگاه مینه سوتا مشکلاتی را ایجاد می کند


به طور کلی دو نوع هکر وجود دارد: کسانی که به سیستم های کامپیوتری نفوذ می کنند تا آسیب پذیری ها را پیدا کنند تا آنها را برطرف کنند و مجرمانی که از نقاط ضعف برای سرقت داده ها و گروگان گرفتن سازمان ها سوء استفاده می کنند.

سپس Kangjie Lu، استادیار دانشگاه مینه‌سوتا که در امنیت کامپیوتر تخصص دارد، وجود دارد. او اخیراً به دلیل ایجاد هدفمند آسیب‌پذیری در برجسته‌ترین سیستم نرم‌افزار منبع باز جهان، هسته لینوکس، شهرت پیدا کرده است. پس از انتشار یک مقاله دانشگاهی در مورد سوء استفاده های او، تیم هسته لینوکس دانشگاه را ممنوع کرد و اصلاحات قبلی آن را برگرداند.

آسیب پذیری های عمدی هسته لینوکس

این افشاگری ها سوالاتی را در مورد امنیت منبع باز و هسته سیستم عامل، جزء اساسی دستگاه ها و سرورهای بی شماری ایجاد کرد. لو آسیب‌پذیری‌ها را در برخی اصلاحات جزئی که او و یک دانشجوی فارغ‌التحصیل به مخزن وسیع کدهای نرم‌افزار لینوکس ارسال کردند، پنهان کرد و یک روش مشترک را که برای ایمن نگه‌داشتن برنامه ضروری است، زیر پا گذاشت.

الکساندر سردا، مدیر پروژه مستقر در تورنتو که در سال 2020 به شبکه Toptal ملحق شد، می‌گوید: «آنها به طرز غم‌انگیزی موفق بودند.

در حالی که ویندوز و macOS بر دسکتاپ ها تسلط دارند، سیستم عامل های مبتنی بر لینوکس بسیار زیاد هستند محبوبترین برای سرورها و ابررایانه ها، و گوگل از نسخه اصلاح شده هسته برای اندروید استفاده می کند. غول‌های فناوری مانند رد هت کسب‌وکارهای نرم‌افزاری سازمانی خود را بر اساس منبع باز ایجاد کرده‌اند و حتی مایکروسافت که برای سال‌ها به عنوان یکی از مخالفان اصلی اکوسیستم متن‌باز شناخته می‌شد، ظهور کرده است: در سال 2018، GitHub، بزرگترین میزبان برنامه‌های باز را خریداری کرد. پروژه های منبع؛ امروزه، توزیع های لینوکس را می توان در فروشگاه مایکروسافت یافت.

به سختی می توان فراگیر بودن هسته لینوکس و نرم افزار منبع باز را اغراق کرد. به معنای واقعی کلمه میلیون ها پروژه منبع باز برای توسعه دهندگان وجود دارد و از آنجایی که آنها رایگان و در بیشتر موارد قابل اعتماد هستند، بیش از 90 درصد برنامه های تجاری حاوی چنین مؤلفه هایی هستند. به گفته یک، این رقم همچنان در حال رشد است مطالعه سالانه از شرکت طراحی سیلیکونی و امنیت نرم افزار Synopsys.

قابل اعتماد بودن به اندازه رایگان بودن مهم است، و جامعه منبع باز به ارائه برنامه هایی می بالد که اگر نگوییم بهتر از نرم افزار اختصاصی هستند. این جنبش در دهه 1990 با یک اصل اساسی که توسط توسعه‌دهنده و نویسنده اریک ریموند ابداع شد، ظهور کرد که «با توجه به چشم‌های کافی، همه حشرات کم عمق هستند». این منبع باز تاکنون نسبتاً سالم باقی مانده است – حتی در شرایطی که جهان با یک اپیدمی بی سابقه هک و باج افزار دست و پنجه نرم می کند – تنها تأیید دیگری است که چنین همکاری باز هنوز می تواند مؤثر باشد.

اما، همانطور که لو در تحقیقات خود نشان داد، هیچ امنیتی کامل نیست، حتی در چیزی به اندازه هسته لینوکس حیاتی و نظارت دقیق. Sereda می‌گوید در حالی که نوشتن کد ایمن می‌تواند ساده باشد، یافتن آسیب‌پذیری‌ها در کد پس از این واقعیت می‌تواند فوق‌العاده دشوار باشد – مانند حذف شیر از چای خود پس از هم زدن آن. در حالی که منبع باز به طور کلی عملکرد تحسین برانگیزی داشته است، جدا از چند مشکل مهم مانند باگ Heartbleed که در سال 2014 ظاهر شد، شواهد زیادی وجود دارد که نشان می‌دهد توسعه‌دهندگان به نوبه خود هنگام استفاده از نرم‌افزار رایگان از میانبرهای زیادی استفاده می‌کنند. محصولات

مخاطرات امنیتی منبع باز

سینوپسیس در گزارش سالانه 2021 خود فاش می‌کند که هر شرکتی در صنعت فناوری بازاریابی که ممیزی کرده است، منبع باز در پایگاه کد خود دارد و 95 درصد از آن پایگاه‌های کد دارای آسیب‌پذیری هستند. هنگامی که به بخش مراقبت های بهداشتی، بخش خدمات مالی، و صنایع خرده فروشی و تجارت الکترونیک نگاه می کنیم، نتایج مشابهی پیدا کرد. دلایل متعددی برای نتایج ضعیف وجود دارد، اما مهم‌ترین آنها این است که نرم‌افزار پیچیده‌تر می‌شود و هرچه پیش می‌رود ردیابی و نظارت بر اجزای آن سخت‌تر می‌شود.

سام واتکینز، یک توسعه‌دهنده مستقل که در سال 2021 به شبکه Toptal پیوست، می‌گوید: «منبع باز سابقه امنیتی بسیار بهتری نسبت به محصولات اختصاصی دارد، اما این تضمین نمی‌کند که همیشه بهترین کیفیت خواهد بود. مشکل، که برنامه های بیش از حد پیچیده است. ناامن است، البته نه از نیت مخرب.»

پس مشکل لزوماً این نیست که منبع باز خیلی باز است. تیموتی مکی، استراتژیست امنیتی اصلی در Synopsys می‌گوید، در عوض، این شکاف است که همچنان ادامه دارد، زیرا هیچ فروشنده‌ای وجود ندارد که وصله‌ها را برای جامعه منتشر کند، حتی با کاهش چرخه‌های نرم‌افزاری. بودجه‌های کم، برنامه‌نویسان را مجبور می‌کند تا از میانبرهای ناقص مانند سیستم‌های رتبه‌بندی ساده برای انتخاب مؤلفه‌های خود – بر اساس محبوبیت، نه کیفیت، استفاده کنند. چندین سرویس وجود دارد که میانبرهایی را به برنامه نویسان ارائه می دهد، از جمله Openbase، Stack Builder، و Open Source Index که محبوب ترین پروژه ها را در GitHub برجسته می کند.

مدیریت آسیب پذیری منبع باز

به گفته برنامه نویسان و دانشگاهیان، در حالی که در این سیستم های رتبه بندی منبع باز ارزش وجود دارد، به جای گرفتن اجزایی که به نظر می رسد بهترین تطابق هستند، باید اعتبار و توجه بیشتری در هنگام وزن کردن گزینه ها وجود داشته باشد. هر سازمان باید مجموعه ای از بهترین شیوه ها که شامل اصولی برای انتخاب دقیق نرم افزار است که میزان پشتیبانی مورد نیاز و خطرات پیش رو را در نظر می گیرد. شرکت ها همچنین باید تمام اجزای منبع باز خود را ردیابی و مرتباً به روز کنند.

برخی از بهترین شیوه های دیگر که کارشناسان ما برای بررسی شناسایی کرده اند عبارتند از:

  • استفاده از اتوماسیون، تأیید فرآیندها، مستندسازی همه چیز، و استفاده از Git برای ردیابی تغییرات پایگاه کد.

  • ایجاد یک جامعه مثبت، از جمله کمک به افرادی که تازه منبع باز هستند و می توانند به همکاران مهم تبدیل شوند.
  • ممیزی نگه داشتن تمام زنجیره های تامین منبع باز.
  • استفاده از کانتینرهای منبع باز که هسته سیستم عامل میزبان را به اشتراک می گذارند.

  • شناسایی حیاتی ترین مؤلفه های منبع باز، سپس ردیابی مسائل امنیتی آنها، تعامل با توسعه دهندگان آنها و مشارکت مجدد در پروژه های بالادستی با وصله ها و بودجه.

Ann Barcomb، استادیار دانشکده مهندسی Schulich دانشگاه کلگری، اضافه می‌کند که در حالت ایده‌آل، سازمان‌ها باید از مجموعه‌ای از بهترین شیوه‌ها برای ایجاد کتابخانه‌هایی از محصولات از پیش تأیید شده استفاده کنند تا نرم‌افزار هرگز خودسرانه انتخاب نشود. با این حال، او اذعان می‌کند که این فرآیند زمان‌بر، پرهزینه است و به طور گسترده انجام نمی‌شود.

آیوش پودار، یک توسعه‌دهنده مستقل که در سال 2021 به Toptal پیوست، می‌گوید: «شما امنیت بیشتری می‌خواهید، اما این امنیت بهای گزافی دارد.

پلتفرم هایی مانند Black Duck، Sonatype، Snyk و WhiteSource برای کمک به یافتن اجزای منبع باز در پشته برنامه های کامپیوتری و شناسایی آسیب پذیری ها، اتوماسیون را ارائه می دهند. با این حال، این ابزارها محدود هستند و هماهنگی با وصله‌های کد مشکل دیگری است که بدتر می‌شود – آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده اغلب گزارش ها صدها آسیب پذیری نرم افزاری جدید در هفته.

آیدان مک‌مانوس، یک مدیر بازنشسته فناوری که بر معماری و مهندسی فناوری اطلاعات در CA Technologies نظارت داشت، می‌گوید: «شما نمی‌توانید هر ترکیبی از نحوه اجرای هر بیت کد را آزمایش کنید. “سالها طول می کشد.”

Mats Heimdahl، رئیس دپارتمان علوم و مهندسی کامپیوتر دانشگاه مینه‌سوتا، خاطرنشان می‌کند که Kangjie و محققانش همچنین تکه‌های بد متعددی را در هسته پیدا کردند که جدا از باگ‌هایی بود که ارسال کردند. هایمدال در ایمیلی نوشت: «به نظر من، کاملاً واضح است که فرآیند بازبینی دستی توسط داوطلبانی که بیش از حد کار کرده اند و از آنها قدردانی نشده است (حتی توسط نگهبانان بسیار ماهر و متعهد) به ناچار ناقص خواهد بود.

این واقعیت که آسیب‌پذیری‌ها در حال رشد هستند، سؤالات اساسی در مورد نحوه مدیریت منبع باز ایجاد می‌کند. در حالی که نوآوری را تسریع می کند، اساساً یک منبع مشترک است، یک کتابخانه وسیع از نرم افزارهای رایگان که مصرف کنندگان را نجات می دهد. 60 میلیارد دلار در سال و همچنین با کاهش هزینه های توسعه، سود را برای شرکت ها افزایش می دهد. به سادگی ممکن است سواران رایگان زیادی وجود داشته باشند، با منابع کافی نیست متعهد بودن به نگهداری و امنیت

ممنوعیت هسته لینوکس دانشگاه مینه سوتا: محدودیت های آموخته شده

در حالی که هیچ چیزی وجود ندارد که نشان دهد بررسی اصلاحات تغییر کرده است، بنیاد لینوکس تغییر کرده است تاسیس مجموعه‌ای از بهترین روش‌ها برای محققانی که با هسته کار می‌کنند، و به دانشگاه مینه‌سوتا توصیه می‌شود که یک بازبین برای ارسال‌های خود تعیین کند. به گفته بارکامب، واقعاً جایگزینی برای بررسی کد وجود ندارد و جامعه در حال حاضر در حال انجام کار معقولی برای جلوگیری از کدهای مخرب است. با توجه به استقلال مورد نیاز برای کار دانش، او می‌گوید: «بهترین کاری که می‌توانید انجام دهید این است که فرآیندهایی را برای شناسایی نقض اعتماد و پاسخ‌دهی متناسب با آن در بهترین حالت قبل از اعمال تغییرات انجام دهید.»

هیمدال خاطرنشان می کند که مؤسسه او در حال سازماندهی کمیته ای برای مشاوره در مورد ارسال پچ است زیرا در انتظار رفع ممنوعیت است.

لینوکس زمانی یک ایده خارجی بود، نقطه مقابل تفکر سنتی در مورد نرم افزار اختصاصی، اما به چیزی تبدیل شده است که بیشتر شبیه یک پروژه تجاری است. هواوی، اینتل و ردهت رهبری صدها شرکتی که به طور منظم کد را به هسته لینوکس کمک می کنند. در حالی که بسیاری از این شرکت‌ها به بنیاد لینوکس و زیرمجموعه‌های Open Source Initiative نیز کمک مالی می‌کنند، ممکن است زمان آن رسیده باشد که یک رویکرد سیستماتیک‌تر برای حمایت از نرم‌افزار به منظور کمک به بهبود امنیت در آینده باشد – رویکردی که مزایای این نرم‌افزار را بهتر ارزیابی کند. سیستم های منبع باز حیاتی

کریستوفر توزی، مدرس ارشد در موسسه پلی تکنیک Rensselaer، می‌گوید: «مردم آن را بدیهی می‌دانند که منبع باز کار می‌کند. نسل جدیدی از مردم وجود دارند که واقعاً به این مسائل فکر نکرده‌اند.»



منبع

Matthew Newman

Matthew Newman Matthew has over 15 years of experience in database management and software development, with a strong focus on full-stack web applications. He specializes in Django and Vue.js with expertise deploying to both server and serverless environments on AWS. He also works with relational databases and large datasets
[ Back To Top ]