به گفته آژانس ملی ارتقای صنعت فناوری اطلاعات کره، تقریباً 70 درصد از شرکتهای کره جنوبی که در توسعه نرمافزار مشارکت دارند، از نرمافزار منبع باز (OSS) استفاده میکنند. OSS به راحتی قابل دسترسی است و می تواند توسط کاربران در سراسر جهان از طریق پلتفرم های آنلاین مانند GitHub مورد استفاده قرار گیرد و توسعه دهندگان را قادر به ایجاد، توسعه، مدیریت و اشتراک گذاری کد می کند. در حالی که OSS مزایای متعددی را ارائه می دهد – از مقرون به صرفه بودن گرفته تا قابلیت سفارشی سازی و انعطاف پذیری – همچنین دارای معایب قابل توجهی است، از جمله شیوع کدهای مخرب و آسیب پذیری های امنیتی که می توانند به سرعت پخش شوند.
استفاده جهانی از OSS، نه تنها در وب و در برنامه های مختلف، بلکه در نرم افزارهای تعبیه شده در لوازم خانگی و تجهیزات مخابراتی نیز افزایش یافته است. با گسترش پذیرش آن، تهدیدات جدیدی برای محصولات دیجیتال و خدمات آنلاین ظهور و افزایش یافته است. حوادث امنیت سایبری در حال حاضر هر روز رخ می دهد و زنجیره تامین نرم افزار هدف رایج حملات سایبری است. بر اساس نظرسنجی 2024 Global Digital Trust Insights PwC، نسبت شرکتهایی که با نقض دادهها با هزینه بیش از یک میلیون دلار مواجه شدهاند، نسبت به سال گذشته از 27 درصد به 36 درصد افزایش یافته است.*
برای جلوگیری و دفاع در برابر حملات سایبری، تلاشهای مختلفی برای افزایش امنیت زنجیره تامین نرمافزار، بهویژه در ایالات متحده و اروپا انجام میشود. دولت ایالات متحده موظف شده است که هر شرکتی که برای تامین نرمافزار به یک آژانس فدرال قرارداد بسته است، باید فرمی برای تأیید انطباق با شیوههای توسعه نرمافزار ایمن ارائه کند. به طور مشابه، اتحادیه اروپا لایحه ای را پیشنهاد کرده است که ارائه «لایحه مواد نرم افزاری» (SBOM) را الزامی می کند. SBOM فهرستی جامع از اجزای موجود در یک منبع نرم افزاری است و به عنوان وسیله ای موثر برای افزایش امنیت زنجیره تامین ظاهر شده است.
دولت کره نیز فعالانه به افزایش حملات سایبری پیشرفته که زنجیره های تامین نرم افزار را هدف قرار می دهد، پاسخ می دهد. در اوایل سال جاری، کمیته دولتی پلتفرم دیجیتال کره، همراه با وزارت علوم و فناوری اطلاعات و ارتباطات و سرویس اطلاعات ملی، «دستورالعملهای امنیت زنجیره تأمین نرمافزار 1.0» را ایجاد کردند.
این دستورالعملها حاوی اطلاعات دقیق در مورد حداقل الزامات SBOM، معیارهای بازرسی آسیبپذیری امنیتی نرمافزار، استفاده از بسترهای آزمایشی تحت حمایت دولت، و نحوه تعیین و استفاده از اجزای نرمافزاری است. این دستورالعمل ها برای استفاده و پیروی آسان، مواردی را نیز شامل می شود که از طریق پروژه نمایشی سال گذشته برای کاربرد میدانی، که توسط دولت کره سازماندهی شده است، تأیید شده است.
شرکتهای بزرگ، از جمله LG Electronics، آسیبپذیریهای امنیتی نرمافزار را با ابزارهای SBOM و روشهای مدیریتی خود برطرف میکنند. در محیط کسبوکار امروزی، توسعه نرمافزار معمولاً شامل استفاده از OSS و یک سیستم مشترک شامل چندین شرکت شریک میشود. برای اطمینان از امنیت کل زنجیره تامین نرم افزار، بسیار مهم است که هر یک از شرکت کنندگان نقش خود را به خوبی ایفا کنند – تمام اقدامات لازم را انجام دهند و از همه ابزارهای موجود برای جلوگیری از نقض امنیت استفاده کنند.
به همین دلیل، الجی با انتشار کد منبع FOSSLight – ابزار SBOM توسعهیافته الجی، به سایر شرکتها کمک میکند تا به طور مؤثر SBOM را مدیریت کنند. FOSSLight می تواند یک قطعه خاص از OSS را به دقت شناسایی کند، آن را از نظر آسیب پذیری های امنیتی نظارت کند و هر گونه مجوز مرتبط را بازیابی کند. به عنوان پروژه مدیریت منبع باز، FOSSLight از FOSSLight Hub، یک سیستم یکپارچه که می تواند منبع باز را مدیریت کند، و FOSSLight Scanner که می تواند منبع باز را تجزیه و تحلیل کند، تشکیل شده است.
تعهد LG به تضمین امنیت چیز جدیدی نیست. در نمایشگاه CES 2024، ویلیام چو، مدیرعامل الجی، هوش مصنوعی را به عنوان «هوش محبتآمیز» بازتعریف کرد و آرزوی این شرکت را برای پیگیری به اشتراک گذاشت. هوش مسئول. LG Shield، سیستم امنیتی مبتنی بر هوش مصنوعی این شرکت، در تمام جنبههای جمعآوری، ذخیره و استفاده از دادههای مشتری اعمال خواهد شد و همچنین برای محافظت از زنجیره تامین نرمافزار استفاده خواهد شد.
در نهایت، SBOM توانایی سازمان را برای شناسایی و پاسخگویی به آسیب پذیری های امنیتی نرم افزار از قبل افزایش می دهد. SBOM علاوه بر جلوگیری از به خطر افتادن اطلاعات سازمانی، زیرساخت دیجیتال و داده های مشتری، می تواند کیفیت کلی نرم افزار مورد استفاده شرکت ها را نیز بهبود بخشد. علاوه بر این، به دلیل اینکه SBOM شفافیت بیشتری را در زنجیره تامین نرم افزار ترویج می کند، انتظار می رود SBOM نقش مهمی در تقویت قابلیت اطمینان در بازارهای خارج از کشور ایفا کند.
این تلاش به طور برجسته در یک میزگرد در انجمن جهانی OECD در مورد امنیت دیجیتال برای رفاه در ماه ژوئیه به نمایش گذاشته شد. این پانل با عنوان “نرم افزار منبع باز و درمان آسیب پذیری” به چالش ها و راه حل های خاص مربوط به آسیب پذیری های نرم افزار منبع باز پرداخت. این بحث نشان داد که چگونه نرم افزارهای اختصاصی و منبع باز تحت تأثیر این واقعیت قرار می گیرند که افزایش پیچیدگی کد اغلب منجر به آسیب پذیری های بیشتر می شود. این جلسه کاوش عمیقی از جنبه های منحصر به فرد نرم افزار منبع باز و اکوسیستم آن در پرداختن به این مسائل ارائه کرد.
در آینده، ما امیدواریم که پذیرش SBOM در سراسر صنعت ICT افزایش یابد و اکوسیستم OSS ایمن تر و شفاف تر را ایجاد کند که به نفع همه شرکت ها باشد.
توسط کیم کیونگ آئه، رهبر وظیفه منبع باز آزمایشگاه تحقیق و توسعه مهندسی نرم افزار. در ال جی الکترونیکس
###
* www.pwc.com/bm/en/press-releases/pwc-2024-global-digital-trust-insights.html