@تبرتبر شارما
محقق امنیت ، مهندس ، ستون فقرات فناوری | https://hey.ax/
از آنجا که حملات به اکوسیستم منبع باز به اشکال مختلف ادامه می یابد ، نیاز به افزایش اقدامات امنیتی برای توسعه دهندگان از اهمیت بالایی برخوردار است.
حملات و نقض برجسته های زنجیره تامین نرم افزار ، خبرساز شده است [1, 2]، و مهاجمان از م componentsلفه های منبع باز آسیب پذیر مانند Apache و Struts در طبیعت بهره برداری کرده اند.
اخیراً ، ما همچنین شاهد بوده ایم که مهاجمان با استفاده از رویکرد جدیدتر توسعه دهندگان و زیرساخت های توسعه دهنده را هدف قرار می دهند تا شانس آنها را برای نتیجه موفقیت آمیز به حداکثر برسانند.
چه حملات زنجیره تأمین نسل بعدی مانند حادثه Codecov و چه تلاش مهندسی اجتماعی برای معرفی عمدی آسیب پذیری در کد هسته لینوکس ، تهدیدها علیه توسعه دهندگان بطور مداوم در حال پیشرفت بوده و از کمترین مکان انتظار می رود.
معرفی کد آسیب پذیر در یک مخزن بالادستی یا نسخه منتشر شده – خواه عمدی باشد یا نه ، می تواند امنیت زنجیره تامین گسترده نرم افزار را تهدید کند ، خصوصاً برای اجزای منبع باز مورد اعتماد هزاران نفر.
به همین ترتیب ، دارندگان اکوسیستم های منبع باز مسئولیت فزاینده ای نسبت به کمک به توسعه دهندگان برای انتشار نرم افزاری عاری از آسیب پذیری های رایج امنیتی دارند.
اگرچه معمولاً شناخته شده است …