يتناول هذا المدونة النقاط الرئيسية المستخلصة من ندوتنا عبر الإنترنت بعنوان "Supply Chain Software : نقاط الضعف التي يستغلها المهاجمون". شاهد الندوة عبر الإنترنت بالكامل هنا.
ازدادت مخاطر سلسلة Software بشكل كبير مع اعتماد المؤسسات على المزيد من المكونات مفتوحة المصدر والحزم الخارجية وخطوط الإنتاج الآلية. أصبحت الثغرات الصغيرة التي كانت تبدو غير ضارة في السابق لها عواقب حقيقية، خاصة مع تزايد التبعية وصعوبة التحقق منها.
ومن الأمثلة الواضحة على هذا التحول دودة npm Shai-Hulud و Shai-Hulud 2.0 اللتان انتشرتا مؤخرًا عبر حزم مخترقة وأثرتا على آلاف المشاريع التابعة في غضون ساعات. وتوضح حوادث مثل هذه أمرًا واحدًا: لم تعد نقاط الضعف في سلسلة التوريد محصورة في مكان واحد، بل تنتشر عبر النظم البيئية بأكملها.
نظرًا لأن 70-90٪ من البرامج الحديثة تتكون من مكونات مفتوحة المصدر، والتي لا يراها معظم المطورين بشكل مباشر، فإن المشكلات الصغيرة يمكن أن تتحول بسرعة إلى مخاطر كبيرة. ومع ذلك، فإن 15٪ فقط من المؤسسات تشعر بالثقة في طريقة إدارتها لمخاطر البرامج مفتوحة المصدر. مع توقع استهداف 70٪ من هجمات الذكاء الاصطناعي الخبيثة لسلاسل التوريد بحلول عام 2025، أصبح من الضروري الآن تحديد نقاط الضعف في سلسلة توريد البرامج.
بالنسبة لفرق الهندسة والأمن، الفائدة بسيطة: معرفة أماكن نقاط الضعف هذه يعني مفاجآت أقل، وأوقات استجابة أسرع، واحتمال أقل بكثير للظهور في العناوين الرئيسية المتعلقة بسلسلة التوريد.
لم تعد قوائم مكونات البرمجيات (SBOM) اختيارية
لإدارة مخاطر سلسلة توريد البرمجيات والاستجابة لنقاط الضعف، تحتاج المؤسسات إلى رؤية واضحة لما يوجد في مجموعة برمجياتها. أساس هذه الرؤية هو SBOM (قائمة مواد البرمجيات)، التي توفر الشفافية اللازمة لفهم مخاطر المكونات والتصرف بسرعة عند ظهور المشكلات.
يُعرّف SBOM بأنه قائمة مفصلة بجميع المكونات المغلقة والمفتوحة المصدر والتراخيص والتبعيات المستخدمة في أحد التطبيقات. توفر هذه القائمة بيانات أساسية للشفافية والامتثال وإدارة المخاطر.
ما هو غير معرض للخطر أو الخبيث اليوم يمكن أن يصبح كذلك بسهولة غدًا. نظرًا لأن الثغرات الأمنية يتم اكتشافها باستمرار، بما في ذلك في الإصدارات القديمة، فإن المراقبة المستمرة والجرد ضروريان.
جورج بريشيسينائب الرئيس، المنتجات، OPSWAT
SBOM مقابل SCA
من الأمور المهمة التمييز بين SBOM و SCA (تحليلSoftware ). SBOM هو قائمة الجرد أو قائمة المكونات. SCA يقيّم ما إذا كانت أي من هذه المكونات عرضة للخطر أو قديمة أو تنطوي على مخاطر. معًا، يوفران للمؤسسات الرؤية اللازمة لاتخاذ قرارات مستنيرة والاستجابة بسرعة أكبر للمشكلات الأمنية وتعزيز إدارة المخاطر بشكل عام.
| باب | SBOM | SCA |
|---|---|---|
الغرض | جرد المكونات |
تحديد نقاط الضعف في المكونات
|
تغطية المخاطر | الامتثال والشفافية | المخاطر الأمنية، CVEs، مخاطر وقت التشغيل |
التوقيت | ما قبل النشر/الشراء | مستمر / البناء ووقت التشغيل |
تتطلب الحركات العالمية، المدفوعة جزئياً بهجمات مثل SolarWinds، الآن SBOMs، مع ضغوط تنظيمية من كيانات مثل CISA و NSA و NIST، بالإضافة إلى دول الاتحاد الأوروبي وحلفاء الناتو، مما يجعل شفافية SBOMs لم تعد اختيارية، بل توقعات أساسية لأي بائع برمجيات.
الروابط السبعة الضعيفة التي يستغلها المهاجمون
أدى سرعة التطور الحديث، إلى جانب الاعتماد الكبير على الأطراف الثالثة والرموز المفتوحة المصدر، إلى ظهور نقاط ضعف خطيرة. يستغل المهاجمون سبعة نقاط ضعف أساسية:
1. المخاطر المتعلقة بالمصادر المفتوحة والتبعية
عندما يعطي المطورون الأولوية للسرعة، غالبًا ما يستخدمون مكتبات مفتوحة المصدر كبيرة دون مراجعة كاملة للكود. قد يؤدي مكون واحد إلى ظهور تبعيات انتقالية إضافية. إذا كنت تراقب المستوى الأعلى فقط، فقد تفوتك الكودات الخبيثة التي تم إدخالها في تلك التبعيات الانتقالية المخفية.
هذا النمط هو شيء نستمر في رؤيته عبر النظم البيئية مفتوحة المصدر. يمكن أن تتسلسل حزمة واحدة مخترقة عبر سلاسل التبعية وتصل إلى ملايين التنزيلات قبل أن يلاحظها أحد. يسلط هجوم حديث على سلسلة التوريد npm يتضمن برامج ضارة مشفرة الضوء على كيفية حدوث ذلك في الواقع.
أفضل الممارسات:
- افحص جميع الحزم مفتوحة المصدر وسلاسل التبعية الكاملة الخاصة بها لتحديد نقاط الضعف والمكونات القديمة أو البرامج الضارة المخفية قبل أن تصل إلى قاعدة الكود الخاصة بك.
- راقب التبعيات باستمرار على مدار الوقت، لأن المكونات الآمنة يمكن أن تصبح خطرة مع ظهور ثغرات أمنية جديدة أو تحديثات ضارة.
- استخدم سجلات موثوقة وتحقق من سلامة الحزم للتأكد من أن الحزم التي تقوم بتنزيلها لم يتم العبث بها.
- قم بتطبيق سياسات تحدد أو تحظر التراخيص الخطرة حتى لا تتسلل شروط الترخيص غير المتوافقة أو الفيروسية إلى إصداراتك.
- تأخير استخدام الحزم المنشورة حديثًا حتى يتم فحصها، مما يقلل من احتمال إدخال إصدارات غير مراجعة أو ضارة إلى بيئتك.
2. مخاطر الترخيص
تؤثر قضايا الترخيص الآن على الهندسة بقدر ما تؤثر على الجوانب القانونية. يمكن أن تجبر التراخيص الفيروسية، مثل GPL، على نشر التطبيق الناتج بموجب نفس الترخيص، مما قد يتسبب في فقدان شركتك لملكيتها الفكرية (IP). من الضروري إجراء مراقبة مستمرة لأن شروط الترخيص يمكن أن تتغير، حتى بالنسبة للإصدارات القديمة التي كانت متوافقة في السابق.
أفضل الممارسات:
- استخدم أداة الكشف التلقائي عن التراخيص لتمييز التراخيص عالية المخاطر أو غير المتوافقة في مرحلة مبكرة من التطوير. يوجد شرح أكثر تفصيلاً لأهمية ذلك هنا: الدور الحاسم للكشف عن التراخيص في أمن البرمجيات مفتوحة المصدر.
- تتبع باستمرار تغييرات الترخيص للكشف عن التغييرات التي قد تؤثر على الامتثال أو تعرض الملكية الفكرية للخطر.
- حظر أو مراجعة المكونات ذات التراخيص التقييدية أو الفيروسية قبل دخولها إلى قاعدة الكود.
- الحفاظ على سجل واضح لجميع التراخيص المستخدمة لتبسيط عمليات التدقيق وتقييم المخاطر.
3. ثغرات في بيانات SBOM أو SBOM مفقودة
في حين أن اللوائح تنص على مشاركة قوائم مكونات البرمجيات (SBOM)، فإن القائمة العامة غير كافية. فهناك حاجة إلى بيانات تفصيلية، بما في ذلك المؤلف والمساهمون وتكرار الإصدار وحالة الصيانة، من أجل التخفيف والوقاية الفعالين.
أفضل الممارسات:
- حسّن تقارير SBOM عن طريق إعادة فحص المكونات لإثرائها ببيانات الترخيص المحدثة وحالة الضعف وغيرها من البيانات الوصفية الهامة. يوجد مثال مفصل عن كيفية القيام بذلك هنا تحت عنوان " التحقق من صحة تقارير SBOM وإثرائها في CycloneDX".
- تحقق من صحة قوائم SBOM وقم بإثرائها باستخدام أدوات آلية لضمان اكتمال المعلومات ودقتها وقابليتها للتنفيذ.
- مطالبة البائعين بتوفير قائمة مكونات البرمجيات (SBOM) كاملة، بما في ذلك التبعيات الانتقالية وجميع البيانات الوصفية ذات الصلة.
- تحديث ومراقبة قوائم SBOM باستمرار مع تطور المكونات أو ظهور نقاط ضعف جديدة.
4. البائعون الخارجيون
كل مورد تعتمد عليه يصبح جزءًا من سلسلة التوريد الخاصة بك. إذا قاموا بشحن مكونات قديمة أو معطوبة، فإنك تتحمل هذا الخطر. تتيح قوائم SBOM الكاملة، بما في ذلك التبعيات الانتقالية، فهم مدى تعرضك للخطر بسرعة بدلاً من ملاحقة الموردين أثناء وقوع حادث. يستكشف منشور حديث حول إدارة نقاط الضعف في التبعياتSupply Chain Software الخاصة بك كيف يمكن للفرق تعزيز هذا الجزء من العملية.
5. Supply Chain بالذكاء الاصطناعي
نظرًا لسرعة اعتماد الذكاء الاصطناعي، غالبًا ما تتجاوز الفرق القيود العادية، مما يجعل هذا الأمر عامل هجوم رئيسيًا. يقوم المهاجمون بإدخال أكواد ضارة في نماذج التعلم الآلي أو ملفات PICO أو المكتبات مفتوحة المصدر. يعد التطفل على الأخطاء المطبعية أمرًا شائعًا في بيئات مثل Pytorch، حيث قد يقوم المستخدمون بسحب المكتبة الخاطئة، مما قد يؤدي إلى توصيل برامج ضارة وتشغيل أكواد عن بُعد بالكامل على جهاز المهندس.
6.Container
يجب أن يتطور فحص الحاويات ليتجاوز التركيز على نقاط الضعف فقط. يجب أن يشمل الأمن الحديث أيضًا فحص البرامج الضارة ومعدني العملات المشفرة والتهديدات سريعة المفعول المنشورة في صور الحاويات المتاحة للجمهور. يوضح تحليل حديث لم Container NVIDIA CVE-2024-0132 مدى سهولة تجاهل هذه المشكلات.
7. تسرب الأسرار والمعلومات السرية
عندما تعمل الفرق بسرعة، غالبًا ما تقوم بترميز مفاتيح الوصول أو بيانات الاعتماد في شفرة المصدر للاختبار. حتى إذا تم استبدالها لاحقًا، غالبًا ما تظل هذه الأسرار في سجل Git حيث يسهل على المهاجمين العثور عليها من خلال المسح. يكشف كتاب "كشف التهديدات الخفية: كيفية اكتشاف الأسرار في الشفرة" كيف تحدث هذه التسريبات وما يمكن للفرق فعله لمنعها.
الطريق إلىSupply ChainSoftware Secure
لمواجهة هذه التهديدات، يجب أن تتبنى الأمن عقلية "التحول إلى اليسار"، مما يعني أن نفس السياسات التي يتم تطبيقها قبل الإصدار يجب أن يتم تطبيقها في مرحلة مبكرة من دورة التطوير. الهدف هو دمج الأمن كطبقة إضافية فوق خط أنابيب CI/CD الحالي. يضمن هذا النهج الآلي التنفيذ عند الضرورة، دون التأثير على إنتاجية الهندسة.
يجب أن يوفر الحل الشامل ما يلي:
- مسح سلسلة التوريد الآلي عبر خط الأنابيب
- الرؤية في شفرة المصدر والحاويات والملفات المقدمة من الموردين
- تحليل يتجاوز CVEs للكشف عن البرامج الضارة ومشكلات الترخيص والأسرار المكشوفة
كيف OPSWAT سد هذه الثغرات
- Multiscanning عن البرامج الضارة في مرحلة مبكرة
- بوابات أمان CI/CD متكاملة لـ GitHub و GitLab و TeamCity و Jenkins وغيرها
- إنشاء قائمة مكونات البرمجيات (SBOM) وتعيين نقاط الضعف تلقائيًا
- توقيع الأثر والتحقق من سلامته
- فحص الأسرار وفرض قواعد النظافة في استخدام بيانات الاعتماد
تحدث إلى أحد خبرائنا لتجد حلولاً مخصصة لمجموعتك اليوم.
