جامعة مينيسوتا لينوكس يطرحون أسئلة حول المصدر المفتوح

نشرت: 2022-03-11

يوجد بشكل عام نوعان من المتسللين: أولئك الذين يقتحمون أنظمة الكمبيوتر للعثور على نقاط الضعف من أجل إصلاحها والمجرمون الذين يستغلون نقاط الضعف لسرقة البيانات واحتجاز المنظمات كرهائن.

ثم هناك كانجي لو ، الأستاذ المساعد بجامعة مينيسوتا والمتخصص في أمن الكمبيوتر. اكتسب سمعة سيئة مؤخرًا لقيامه عمداً بإنشاء ثغرات أمنية في أبرز نظام برمجيات مفتوحة المصدر في العالم ، وهو Linux kernel. بعد أن نشر ورقة أكاديمية حول مآثره ، قام فريق Linux kernel بحظر الجامعة وأعاد إصلاحاتها السابقة.

الثغرات الأمنية لـ Linux Kernel المتعمدة

أثار الكشف عن أسئلة حول أمان المصدر المفتوح و OS kernel ، وهو مكون أساسي لعدد لا يحصى من الأجهزة والخوادم. قام Lu بدفن الثغرات الأمنية في بعض الإصلاحات الطفيفة التي قدمها هو وطالب دراسات عليا إلى مستودع Linux الضخم لرموز البرامج ، مما أدى إلى تخريب طريقة تعاونية ضرورية للحفاظ على أمان البرنامج.

يقول ألكسندر سيريدا ، مدير المشروع المقيم في تورنتو والذي انضم إلى شبكة Toptal في عام 2020: "لقد كانوا ناجحين بشكل مؤلم. لقد اجتازت الشفرة الخبيثة إشراف المجتمع الذي من المفترض أن يتخلص من هذه الأنواع من الطلبات".

بينما يسيطر Windows و macOS على أجهزة سطح المكتب ، فإن أنظمة التشغيل المستندة إلى Linux هي الأكثر شيوعًا للخوادم وأجهزة الكمبيوتر العملاقة ، وتستخدم Google نسخة معدلة من kernel لنظام Android. قام عمالقة التكنولوجيا مثل Red Hat ببناء أعمال برمجيات المؤسسات الخاصة بهم حول المصدر المفتوح ، وحتى Microsoft ، التي كان يُنظر إليها لسنوات على أنها خصم رئيسي للنظام البيئي مفتوح المصدر ، ظهرت: في عام 2018 اشترت GitHub ، أكبر مضيف مفتوح- مشاريع المصدر؛ اليوم ، يمكن العثور على توزيعات Linux في متجر Microsoft.

من الصعب المبالغة في انتشار نواة Linux والبرامج مفتوحة المصدر ، حيث تتطور من مجرد أشياء من الهواة والمثاليين إلى حجر الزاوية في سوق البرمجيات اليوم. هناك ملايين من المشاريع مفتوحة المصدر للمطورين ليتم فحصها ، ولأنها مجانية وموثوقة إلى حد كبير ، فإن أكثر من 90٪ من التطبيقات التجارية تحتوي على مثل هذه المكونات. هذا الرقم في ازدياد مستمر ، وفقًا لدراسة سنوية من شركة Synopsys للتصميم وأمن البرمجيات.

أن تكون موثوقًا به لا يقل أهمية عن كونك مجانيًا ، ويفتخر مجتمع المصادر المفتوحة بتقديم البرامج التي تعادل ، إن لم تكن أفضل ، البرامج الاحتكارية. ظهرت الحركة في تسعينيات القرن الماضي بمبدأ مركزي ، صاغه المطور والمؤلف إريك ريموند ، وهو "بالنظر إلى ما يكفي من مقل العيون ، فإن كل الحشرات ضحلة". لقد نجا هذا المصدر المفتوح حتى الآن دون أذى نسبيًا - حتى في الوقت الذي يكافح فيه العالم وباء غير مسبوق من القرصنة وبرامج الفدية - ما هو إلا تأكيد إضافي على أن مثل هذا التعاون المفتوح يمكن أن يظل فعالًا.

ولكن ، كما أوضح لو في بحثه ، لا يوجد أمان مثالي ، حتى في شيء بالغ الأهمية ويتم مراقبته عن كثب مثل Linux kernel. بينما يمكن أن تكون كتابة التعليمات البرمجية الآمنة أمرًا سهلاً ، إلا أن العثور على نقاط الضعف في التعليمات البرمجية بعد الحقيقة يمكن أن يكون أمرًا صعبًا للغاية - "مثل إزالة الحليب من الشاي بعد تقليبها" ، كما تقول Sereda. في حين أن المصدر المفتوح كان يؤدي بشكل عام أداءً رائعًا ، بصرف النظر عن بعض المشاكل الهامة مثل خطأ Heartbleed الذي ظهر في عام 2014 ، هناك مجموعة متزايدة من الأدلة على أن المطورين ، من جانبهم ، يتخذون الكثير من الاختصارات عند دمج البرامج المجانية في منتجات.

المخاطر الأمنية مفتوحة المصدر

كشفت Synopsys في تقريرها السنوي لعام 2021 أن كل شركة في صناعة تكنولوجيا التسويق قامت بتدقيقها لديها مصدر مفتوح في قاعدة الرموز الخاصة بها وأن 95٪ من قواعد الأكواد تحتوي على نقاط ضعف. ووجدت نتائج مماثلة عند النظر إلى قطاع الرعاية الصحية وقطاع الخدمات المالية وصناعات التجزئة والتجارة الإلكترونية. هناك عدد من الأسباب للنتائج السيئة ، ولكن أهمها أن البرامج تزداد تعقيدًا ، ومع ذلك يصبح من الصعب تتبع المكونات ومراقبتها.

يتمتع المصدر المفتوح بسجل أمان أفضل بكثير من المنتجات المسجلة الملكية ، لكن هذا لا يضمن أنه سيكون دائمًا أفضل جودة ، كما يقول سام واتكينز ، وهو مطور مستقل كامل المكدس انضم إلى شبكة Toptal في عام 2021. "لدينا أكبر من ذلك بكثير. المشكلة ، وهي برامج معقدة للغاية. إنه غير آمن ، على الرغم من أنه ليس من نوايا خبيثة ".

المشكلة إذن ليست بالضرورة أن المصدر المفتوح مفتوح للغاية. بدلاً من ذلك ، فإن الفجوة هي التي تستمر لأنه لا يوجد بائع واحد يدفع التصحيحات للمجتمع حتى مع استمرار دورات البرامج في الانكماش ، كما يقول تيموثي ماكي ، استراتيجي الأمن الرئيسي في سينوبسيس. تجبر الميزانيات الضيقة المبرمجين على استخدام اختصارات غير كاملة مثل أنظمة التصنيف المبسطة لاختيار مكوناتهم — حسب الشعبية ، بدلاً من الجودة. هناك العديد من الخدمات التي تقدم للمبرمجين مثل هذه الاختصارات ، بما في ذلك Openbase و Stack Builder و Open Source Index ، والتي تسلط الضوء على أكثر المشاريع شيوعًا على GitHub.

إدارة الثغرات الأمنية مفتوحة المصدر

وفقًا للمبرمجين والأكاديميين ، على الرغم من وجود قيمة في أنظمة التصنيف مفتوحة المصدر هذه ، إلا أن هناك حاجة إلى مزيد من التحقق من الصحة والنظر في الاعتبار عند تقييم الخيارات ، بدلاً من مجرد الحصول على المكونات التي تبدو أفضل تطابق. يجب على كل منظمة إنشاء مجموعة من أفضل الممارسات التي تتضمن مبادئ لاختيار البرامج بعناية التي تأخذ في الاعتبار مقدار الدعم المطلوب والمخاطر التي تواجهها. يجب على الشركات أيضًا تتبع وتحديث جميع مكوناتها مفتوحة المصدر بشكل متكرر.

تتضمن بعض أفضل الممارسات الأخرى التي حددها خبراؤنا للنظر فيها ما يلي:

  • استخدام الأتمتة والتحقق من العمليات وتوثيق كل شيء واستخدام Git لتتبع تغييرات قاعدة البيانات.
  • إنشاء مجتمع إيجابي ، بما في ذلك مساعدة الأشخاص الجدد لفتح المصدر الذين يمكن أن يصبحوا متعاونين مهمين.
  • إبقاء جميع سلاسل التوريد مفتوحة المصدر قابلة للتدقيق.
  • استخدام حاويات مفتوحة المصدر تشارك نواة نظام التشغيل المضيف.
  • تحديد المكونات مفتوحة المصدر الأكثر أهمية ، ثم تتبع مشكلات الأمان الخاصة بها ، والمشاركة مع مطوريها ، والمساهمة مرة أخرى في المشاريع الأولية باستخدام كل من التصحيحات والتمويل.

تضيف آن باركومب ، الأستاذة المساعدة في كلية شوليتش ​​للهندسة بجامعة كالجاري ، أنه من الناحية المثالية ، يجب أن تستخدم المؤسسات مجموعة من أفضل الممارسات لبناء مكتبات للمنتجات المعتمدة مسبقًا حتى لا يتم اختيار البرامج بشكل تعسفي. ومع ذلك ، فهي تقر بأن هذه العملية تستغرق وقتًا طويلاً ومكلفة ولا تمارس على نطاق واسع.

يقول Ayush Poddar ، وهو مطور خلفية مستقل انضم إلى Toptal في عام 2021: "تريد المزيد من الأمان ولكن هذا الأمان يأتي بسعر باهظ".

توفر المنصات مثل Black Duck و Sonatype و Snyk و WhiteSource أتمتة للمساعدة في العثور على مكونات مفتوحة المصدر في مكدس برنامج الكمبيوتر وتحديد نقاط الضعف. ومع ذلك ، فإن هذه الأدوات محدودة ومواكبة تصحيحات التعليمات البرمجية هي مشكلة أخرى تزداد سوءًا - غالبًا ما تبلغ وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية عن مئات الثغرات الأمنية الجديدة في البرامج كل أسبوع.

يقول Aidan McManus ، مدير تنفيذي متقاعد تقني أشرف على هندسة وهندسة تكنولوجيا المعلومات في CA Technologies: "لا يمكنك اختبار كل مجموعة من كيفية تنفيذ كل جزء من التعليمات البرمجية". "سيستغرق الأمر سنوات."

يشير ماتس هيمدال ، رئيس قسم علوم وهندسة الكمبيوتر بجامعة مينيسوتا ، إلى أن Kangjie وباحثيه وجدوا أيضًا العديد من البقع السيئة في النواة والتي كانت منفصلة عن الأخطاء التي قدموها. كتب Heimdahl في رسالة بريد إلكتروني: "من الواضح ، في رأيي ، أن عملية المراجعة اليدوية التي يقوم بها متطوعون مرهقون وغير محترمون (حتى من قبل مشرفين ماهرين ومتفانين) ستكون حتمًا غير كاملة".

تثير حقيقة أن نقاط الضعف تتزايد أسئلة أساسية حول كيفية إدارة المصادر المفتوحة. بينما يسرع الابتكار ، فهو في الأساس مورد مشترك ، ومكتبة واسعة من البرامج المجانية التي توفر للمستهلكين 60 مليار دولار سنويًا وتزيد أيضًا من أرباح الشركات عن طريق خفض تكاليف التطوير. قد يكون هناك عدد كبير جدًا من الدراجين مجانًا ، مع عدم تخصيص موارد كافية للصيانة والأمان.

جامعة مينيسوتا Linux Kernel Ban: Limits Learned

على الرغم من عدم وجود ما يشير إلى أن التدقيق في الإصلاحات قد تغير ، إلا أن مؤسسة Linux Foundation تعمل على إنشاء مجموعة من أفضل الممارسات للباحثين الذين يعملون مع النواة ، وأوصت جامعة مينيسوتا بتعيين مراجع لتقديماتها. لا يوجد في الحقيقة بديل لمراجعة الكود ، والمجتمع القائم الآن يقوم بعمل معقول لإبعاد الكود الضار ، كما يقول Barcomb. نظرًا للاستقلالية المطلوبة للعمل المعرفي ، كما تقول ، "أفضل ما يمكنك فعله هو وضع عمليات لتحديد انتهاكات الثقة والاستجابة وفقًا لذلك ، في أفضل الأحوال قبل دمج التغييرات."

يشير Heimdahl إلى أن مؤسسته تنظم لجنة لتقديم المشورة بشأن طلبات التصحيح لأنها تنتظر رفع الحظر.

كان لينكس في يوم من الأيام فكرة خارجية ، ونقطة مقابلة جريئة للتفكير التقليدي حول البرمجيات الاحتكارية ، لكنه تطور إلى شيء يشبه إلى حد كبير مشروعًا تجاريًا. تقود كل من Huawei و Intel و Red Hat مئات الشركات التي تساهم بانتظام في الكود في Linux kernel. في حين أن العديد من هذه الشركات تتبرع أيضًا بالمال لمؤسسة Linux والشركات التابعة لمبادرة Open Source ، فقد يكون الوقت قد حان لاتباع نهج أكثر منهجية لدعم البرنامج من أجل المساعدة في تحسين الأمان للمضي قدمًا - وهو نهج يقدّر بشكل أفضل فوائد هذا أنظمة مفتوحة المصدر حاسمة.

يقول كريستوفر توزي ، أحد كبار المحاضرين في معهد Rensselaer Polytechnic: "يعتبر الناس أن هذا العمل مفتوح المصدر أمر مفروغ منه". "هناك جيل جديد تمامًا من الأشخاص الذين لم يفكروا حقًا في هذه القضايا."