أحيانًا لا يتم اكتشاف الثغرات الأمنية في البرامج مفتوحة المصدر لأكثر من أربع سنوات. هذه إحدى النتائج الرئيسية لتقرير حالة أوكتوفيرس الأخير من منصة GitHub لاستضافة تطوير البرامج وإدارتها.
لكن هذا البيان ليس صحيحًا تمامًا ، كما على أساس التقدم التكنولوجي وحقيقة أن العديد من الشركات الكبرى والمطورين انضموا في السنوات الأخيرة إلى برمجيات مفتوحة المصدر ، فقد سمح ذلك بإحراز تقدم متسارع بشكل متزايد فيما يتعلق بالتطوير وإنشاء أدوات للاختبار وخاصة اكتشاف الثغرات الأمنية.
على الرغم من أنه لا يزال حقيقة واقعة هو أن التمويل غير كاف (مما يؤدي إلى انخفاض في الموارد البشرية) هو في معظم الأحيان عقبة أمام البحث واكتشاف نقاط الضعف هذه.
Heartbleed ، على سبيل المثال ، هي نقطة ضعف من البرامج الموجودة داخل مكتبة التشفير OpenSSL منذ مارس 2012. يسمح للمهاجم بقراءة ذاكرة الخادم أو العميل لاستردادها المستخدمة أثناء الاتصال ببروتوكول أمان طبقة النقل (TLS). لم يتم اكتشاف الخلل الذي يؤثر على العديد من خدمات الإنترنت حتى مارس 2014 وتم الإعلان عنه في أبريل 2014. وقد ترك ذلك نافذة لمدة عامين للمتسللين لمهاجمة الآلاف من الخوادم.
يُزعم أن الثغرة الأمنية انتهى بها المطاف في مستودع OpenSSL عن طريق الخطأ باتباع اقتراح من مطور متطوع لإصلاح الأخطاء وتحسين الميزات.
عيوب هذا النوع (تم الإدخال بالخطأ) تمثل 83٪ من المكتشفين في المشاريع المصدر المفتوح مستضاف على GitHub. ومع ذلك ، فإن أحدث تقرير عن حالة Octoverse تنص على أن 17٪ عبارة عن ثغرات تم إدخالها عن عمد من قبل أطراف ثالثة ضارة.
هذه هي الأرقام التي ينبغي استكمالها بتقرير حديث عن Risksense يؤكد أن العيوب في البرامج مفتوحة المصدر تتزايد باستمرار. تعتمد مشاريع تكنولوجيا المعلومات بشكل متزايد على المصدر المفتوح ، وهو ما يفسر الاهتمام المتزايد للمتسللين في هذا المجال.
يمكن أن تؤدي الثغرة الأمنية إلى إحداث فوضى في عملك وتسبب مشاكل أمنية على نطاق واسع. ومع ذلك ، فإن معظم نقاط الضعف ناتجة عن أخطاء وليست هجمات ضارة.
من خلال الاعتماد على المصدر المفتوح متى أمكن ، يستفيد فريقك من جميع الإصلاحات التي وجدها المجتمع وعلاجها. يعد وقت الإصلاح مكونًا مهمًا لجميع فرق DevOps
نموذج التمويل من مجال المصدر المفتوح من بين العوامل التي من المرجح أن تفسر سبب ثغرات البرامج يمرون دون أن يلاحظهم أحد خلال هذه اللحظات المهمة. مبادرة البنية التحتية المركزية (CII) هي واحدة من المشاريع القليلة لتمويل ودعم مشاريع البرمجيات الحرة ومفتوحة المصدر والتي تعتبر ضرورية لعمل الإنترنت وأنظمة المعلومات الكبيرة الأخرى.
تعتمد معظم المشاريع على GitHub على برامج مفتوحة المصدر. تضمن هذا التحليل مستودعات عامة مفتوحة المصدر بمساهمة واحدة على الأقل في كل شهر بين 10.1.2019 و 30.09.2020.
كان هذا الأخير موضوع إعلان بعد ثغرة Heartbleed الحرجة في OpenSSL التي تستخدمها ملايين مواقع الويب. المشكلة: يعتمد معهد CII على مساهمات اللاعبين الراسخين في عالم البرمجيات الاحتكارية. يمول Facebook و VMWare و Microsoft و Comcast و Oracle (لتسمية هذه الشركات فقط) مؤسسة Linux ، وبالتالي مشاريع مثل مبادرة البنية التحتية المركزية (CII).
هذا يمنحهم مقاعد في مجالس اتخاذ القرار المختلفة وبالتالي بعض السيطرة على ما يحدث في ساحة المصادر المفتوحة. يناقش بريان لوندوك ، العضو السابق في مجلس إدارة openSUSE ، هذا الوضع بمزيد من التفصيل.
النتيجة المباشرة هي أن مشاريع مفتوحة المصدر تستفيد من التمويل هي تلك التي تقوم عليها بنيتها التحتية بشكل أساسي.
وأخيرا، إذا كنت مهتمًا بمعرفة المزيد عنها، يمكنك الرجوع إلى موقع الويب التالي حيث يمكنك العثور على التقارير المجمعة.