أبرز تقرير حديث أن ما يقرب من ثلث قادة الأعمال شهدوا زيادة في الهجمات الإلكترونية التي تستهدف سلاسل التوريد الخاصة بهم. ومن المفهوم أن التركيز كان على تركيز الموردين والأطراف الثالثة وتأثير الدومينو عندما يسقط أحد الشركاء. وهذا القلق صحيح، ولكنه غير كامل.
هناك خطر آخر يتعلق بسلسلة التوريد نادرًا ما يتم إدراجه على جدول أعمال مجلس الإدارة. ولا يصل من خلال عقد بائع ولا يتم إدراجه في سجل المشتريات. كما أنه لم يتم تضمينه في استبيان العناية الواجبة. الخطر هو البرمجيات مفتوحة المصدر.
CTO الميداني في Trend AI، وهي وحدة أعمال تابعة لشركة Trend Micro.
واليوم، تدعم المكونات مفتوحة المصدر كل الخدمات الرقمية الحديثة تقريبًا.
يستمر المقال أدناه
من بوابات العملاء إلى منصات الدفع، ومن أعباء العمل السحابية إلى الأدوات الداخلية، تعتمد فرق التطوير على المكتبات والأطر وصور الحاويات المأخوذة من المستودعات العامة. في العديد من البيئات، يمكن إرجاع أكثر من 80 بالمائة من قاعدة التعليمات البرمجية إلى مكونات مفتوحة المصدر.
ومع ذلك، عندما يناقش المسؤولون التنفيذيون التعرض لسلسلة التوريد، تركز المحادثة عادةً على مقدمي الخدمات المُدارة، وتكنولوجيا المعلومات التي يتم الاستعانة بمصادر خارجية، وتبعيات الأجهزة. تظل الطبقة مفتوحة المصدر غير مرئية إلى حد كبير.
تحت السطح
لا تزال معظم المؤسسات تضع المخاطر السيبرانية في إطار روايات مألوفة: رسائل البريد الإلكتروني التصيدية، وعصابات برامج الفدية، وسرقة بيانات الاعتماد، والهندسة الاجتماعية. هذه تهديدات ملموسة. فهي سهلة التفسير والقياس، وهي التي تتصدر العناوين الرئيسية.
وعلى النقيض من ذلك، فإن المخاطر مفتوحة المصدر هادئة ومنهجية. لا يوجد بريد إلكتروني ضار للإشارة إليه. لا يوجد خصم واضح يطرق الباب. وبدلاً من ذلك، تدخل المخاطر من خلال إجراء روتيني للمطور: استيراد مكتبة لتسريع التسليم.
التحدي لا يكمن في أن المصدر المفتوح غير آمن بطبيعته. التحدي هو أنها لا مركزية وغير منظمة إلى حد كبير. يمكن لأي شخص نشر حزمة. يمكن لأي شخص تحديثه. يمكن للمحافظين أن يتغيروا. يمكن أن تتغير التبعيات. إن المكون الذي كان مستقرًا وآمنًا بالأمس يمكن أن يسبب عيبًا خطيرًا اليوم.
في الواقع، تقوم المؤسسات باستمرار باستيراد التعليمات البرمجية من نظام بيئي خارجي لا تحكمه ولا يمكنها التحكم فيه. هذه هي مخاطر سلسلة التوريد في أنقى صورها.
منظر طبيعي يتحرك في الدقيقة
وتكافح نماذج إدارة المخاطر التقليدية للتعامل مع هذا الواقع. لا تزال العديد من المؤسسات تعتمد على التقييمات في الوقت المناسب، أو شهادة ISO، أو المراجعات السنوية للبائعين أو عمليات التدقيق المنتظمة.
تفترض هذه الأساليب الاستقرار النسبي وأن ما تم تقييمه يظل كما هو من الناحية المادية حتى المراجعة التالية.
ومع ذلك، لا تعمل البرامج مفتوحة المصدر وفقًا لهذا الجدول الزمني.
يتم تحديث المكتبات يوميا، وأحيانا كل ساعة. يتم تقديم التبعيات الجديدة تلقائيًا من خلال عمليات الإنشاء. يتم إعادة بناء صور الحاوية وإعادة نشرها.
يمكن أن يصبح المكون الموثوق به مسبقًا عرضة للخطر خلال دقائق من الكشف الجديد أو التحديث الضار. إن فكرة أن الشهادة السنوية تعكس الوضع الأمني في الوقت الفعلي لمجموعة البرامج قد عفا عليها الزمن تمامًا.
لقد رأينا حوادث حيث تتابعت حزمة واحدة مخترقة في مستودع عام عبر آلاف المشاريع النهائية. ليس لأن المنظمات كانت مهملة، ولكن لأنها لم تكن لديها رؤية في الطبقات الأعمق من شجرة التبعية الخاصة بها.
والنتيجة هي التعرض الشامل الذي يقع تحت سطح أطر الحوكمة القياسية.
مشكلة الابتلاع
واحدة من أكثر اللحظات التي يتم التغاضي عنها في مخاطر البرامج هي نقطة الاستيعاب. عندما يقوم أحد المطورين بسحب مكتبة أو صورة حاوية جديدة إلى بيئة ما، فهذا هو قرار سلسلة التوريد. إنه يعادل تأهيل بائع جديد.
ومع ذلك، في العديد من المنظمات، يتم اتخاذ هذا القرار دون حواجز حماية. لا يوجد التحقق من المصدر أو تسجيل السمعة. بحلول الوقت الذي تقوم فيه فرق الأمان بمراجعة قاعدة التعليمات البرمجية، يكون المكون مضمنًا بالفعل ومنشورًا وفي مرحلة الإنتاج.
بدأت المنظمات الناضجة في إعادة التفكير في هذا الأمر. إنهم يقومون بمسح المكتبات وصور الحاويات عند دخولها إلى البيئة، وليس بعد أسابيع.
إنهم يتحققون من التوقيعات الرقمية، ويتتبعون أصل الحزم ويفرضون السياسات التي تقيد المصادر غير الموثوقة. إنهم يراقبون الانحراف باستمرار، مدركين أن المكون الذي كان موثوقًا به سابقًا يمكن أن يتدهور بمرور الوقت مع ظهور نقاط ضعف جديدة.
لا يتعلق الأمر بإبطاء الابتكار، ولكنه يتعلق بجلب نفس الانضباط إلى تبعيات التعليمات البرمجية التي نطبقها بالفعل على الموردين الماليين وشركاء البنية التحتية الحيوية.
حالة تصنيفات المخاطر المستقلة
أحد نقاط الضعف الهيكلية في النظام البيئي مفتوح المصدر هو عدم وجود نظام مستقل ومعتمد على نطاق واسع لتصنيف المخاطر. في الأسواق المالية، نعتمد على التصنيفات الائتمانية لتقييم مخاطر الطرف المقابل. في مجال الأجهزة، لدينا معايير السلامة والرقابة التنظيمية.
في المصادر المفتوحة، نعتمد إلى حد كبير على ثقة المجتمع والكشف التفاعلي عن نقاط الضعف.
ومن شأن النموذج الأكثر نضجا أن يقدم مؤشرات مخاطر شفافة للمكونات المستخدمة على نطاق واسع. ويمكن قياس عوامل مثل نشاط المشرف، وتكرار التحديث، ونقاط الضعف المعروفة، وتعقيد التبعية، وسلامة المصدر.
ويمكن للمؤسسات بعد ذلك اتخاذ قرارات مستنيرة لا تعتمد على الأداء الوظيفي فحسب، بل على المخاطر النظامية أيضًا.
وهذا لا يتطلب تنظيمًا صارمًا. ويتطلب الأمر التعاون بين الصناعة ومشغلي المستودعات والباحثين الأمنيين لتوفير إشارات أكثر وضوحًا للسوق.
وبدون هذه الرؤية، تطير الشركات بلا هدف.
تحقيق التوازن بين الابتكار والتعرض
لقد أحدث المصدر المفتوح تحولًا في الابتكار. لقد أدى في كثير من الأحيان إلى تسريع عملية التطوير وخفض التكاليف وتمكين التجريب السريع. إن الابتعاد عنها ليس واقعيا ولا مرغوبا فيه.
الهدف هو التوازن.
يحتاج قادة الأمن إلى توسيع تعريفهم لمخاطر سلسلة التوريد ليشمل التعليمات البرمجية. تحتاج مجالس الإدارة إلى فهم أنه يمكن استيراد التعرض النظامي بصمت من خلال مسارات التطوير. تحتاج أطر الحوكمة إلى التطور من عمليات التدقيق الثابتة إلى الرقابة المستمرة.
لا يمكن أن تتوقف إدارة سطح الهجوم في عام 2026 عند الأصول التي تواجه الإنترنت وعقود الطرف الثالث. يجب أن تصل إلى قائمة مواد البرنامج، وإلى أشجار التبعية، وإلى السلامة في الوقت الحقيقي للمكونات مفتوحة المصدر.
والحقيقة غير المريحة هي أن العديد من المؤسسات تكون آمنة في لحظة ما، ثم تصبح غير آمنة في لحظة أخرى، ليس لأن أحد المهاجمين اخترق محيطها، ولكن بسبب تغير المكتبة التي تعتمد عليها.
إذا كان ما يقرب من ثلث القادة يشهدون بالفعل زيادة في الهجمات على سلسلة التوريد، فإن السؤال ليس ما إذا كانت مخاطر المصادر المفتوحة ستصبح نقطة محورية أم لا. إنه متى.
كلما أسرعنا في التعامل مع استيعاب المصادر المفتوحة كمشكلة تتعلق بسلسلة التوريد على مستوى مجلس الإدارة بدلاً من كونها مسألة راحة للمطورين، أصبحت أسسنا الرقمية أقوى.
لقد عرضنا أفضل دورة للأمن السيبراني عبر الإنترنت.
تم إنتاج هذه المقالة كجزء من قناة Expert Insights التابعة لـ TechRadarPro حيث نعرض أفضل وألمع العقول في صناعة التكنولوجيا اليوم. الآراء الواردة هنا هي آراء المؤلف وليست بالضرورة آراء TechRadarPro أو Future plc. إذا كنت مهتمًا بالمساهمة، اكتشف المزيد هنا: https://www.techradar.com/news/submit-your-story-to-techradar-pro
التعليقات