كيفية جعل البرامج مفتوحة المصدر أكثر أمانًا

في وقت سابق من هذا العام، أدرك أحد مطوري Microsoft أن شخصًا ما قد أدخل بابًا خلفيًا في كود الأداة المساعدة مفتوحة المصدر XZ Utils، والتي تُستخدم في جميع أنظمة تشغيل Linux تقريبًا.

بدأت العملية قبل عامين عندما بدأ شخص يُدعى JiaT75 بالمساهمة في مستودع XZ Utils على GitHub. ووصف أحد خبراء الأمن السيبراني هذا الهجوم بأنه “سيناريو كابوس” و”أفضل هجوم على سلسلة التوريد تم تنفيذه على الإطلاق”.

كان الهجوم، الذي أعقب حوادث أمنية سيبرانية أخرى معروفة تتضمن برامج مفتوحة المصدر مثل Heartbleed وShellshock وLog4j، بمثابة تذكير صارخ آخر بأن البرامج مفتوحة المصدر، نظرًا لمدى انتشارها، يمكن أن تشكل مخاطر أمنية كبيرة.

وفي TechCrunch Disrupt 2024، بوجوميل بالكانسكي، الشريك في Sequoia Capital؛ وآيفا بلاك، رئيسة قسم أمن المصادر المفتوحة في وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية؛ وجلس لويس فيلا، المؤسس المشارك لشركة Tidelift، لمناقشة تحديات تأمين البرمجيات مفتوحة المصدر.

“أود أن أقول أن المصادر المفتوحة ليست مجانية مثل البيتزا. إنه مجاني مثل الجرو. قال بلاك: “إذا أخذته إلى المنزل ولا تطعمه، فسوف يأكل أثاثك وأحذيتك”.

وصف بلكانسكي البرمجيات مفتوحة المصدر بأنها “شريان الحياة للبرمجيات”، مما يجعلها “أساسية ومدمجة في كل شيء”. وأضاف بالكانسكي أن المشكلة تكمن في أن “نموذج الأعمال الخاص بالمصادر المفتوحة لا يزال قيد التنفيذ”.

إذن من الذي يجب أن يعتني بها ويدفع تكاليف تأمينها؟