المخاطر التي يواجهها سلاسل توريد البرمجيات لقد احتلوا مكانهم في طليعة المحادثات في النظام البيئي للأمن السيبراني. ويرجع ذلك جزئيا إلى زيادة وتيرة هذه هجمات سلسلة التوريد، ولكن أيضًا بسبب التأثيرات بعيدة المدى المحتملة التي تحدث عند حدوثها.
أظهرت أرقام عام 2021 هجمات على سلسلة توريد البرمجيات تضاعفت ثلاث مرات في التردد مقارنة بالعام السابق، وهو اتجاه من غير المرجح أن يتباطأ في المستقبل. ولحسن الحظ، فإن الوعي المتزايد بمخاطر هجمات سلسلة توريد البرمجيات يدفع إلى اتخاذ مجموعة واسعة من الإجراءات التي قد تكون مفيدة. أحد هذه الإجراءات الأخيرة هو إصدار الأمر التنفيذي بشأن الأمن السيبراني من قبل حكومة الولايات المتحدة.
والأمر الأكثر اطمئنانًا هو الاهتمام المتزايد للعديد من اللاعبين الكبار بتقديم تدابير جماعية يمكن أن تساعد في مكافحة التهديد المتزايد الذي تمثله الجهات الفاعلة الخبيثة التي تستهدف سلاسل توريد البرمجيات. في أكتوبر 2022، أعلنت غوغل مشروع جديد مفتوح المصدر يُعرف باسم الرسم البياني لفهم تركيب القطع الأثرية (GUAC، للاختصار). على الرغم من أن هذه المبادرة لا تزال في مراحلها الأولى، فإننا نجدها مثيرة للاهتمام للغاية لأنها تحمل القدرة على تغيير الفهم الحالي للصناعة لسلاسل توريد البرمجيات وتقدم تدابير متقدمة لمزيد من التخفيف من هذه التهديدات.
لماذا GUAC؟ لماذا الان؟
كمؤسسة، تتمثل مهمة Google الأساسية في تنظيم المعلومات حول العالم وجعلها مفيدة ويمكن الوصول إليها عالميًا. يتماشى الرسم البياني لفهم تكوين القطع الأثرية (GUAC) مع هذه المهمة فيما يتعلق بعالم الأمن السيبراني. الهدف من GUAC هو إتاحة معلومات الأمان عالية المستوى لجميع المؤسسات، بما في ذلك تلك التي ليس لديها ميزانية تكنولوجيا المعلومات أو البنية التحتية الأمنية على مستوى المؤسسة للحصول على هذه المعلومات لأنفسهم.
إن GUAC هي محاولة لتجميع بيانات تعريف أمان البرامج القيمة في قاعدة بيانات رسومية عالية الدقة. لن تتضمن قاعدة البيانات هوية الكيانات البرمجية المختلفة فحسب، بل ستوضح أيضًا تفاصيل العلاقة القياسية بينها.
أدى التعاون المجتمعي بين المجموعات المختلفة إلى وثائق السياسة مثل فواتير المواد البرمجيات (SBOMs)، الشهادات الموقعة التي توضح بالتفصيل كيفية إنشاء البرامج (مثل SLSA)، وقواعد البيانات التي تسهل اكتشاف الثغرات الأمنية وإزالتها، مثل قاعدة بيانات الأمان العالمية (GSD). سوف يساعد GUAC في دمج وتجميع المعلومات المتاحة في جميع قواعد البيانات هذه وتنظيمها في تنسيق أكثر شمولاً. بهذه الطريقة، يمكن لأي شخص العثور على الإجابات التي يحتاجها لأسئلة الأمان عالية المستوى حول أي أصول برمجية ينوي استخدامها.
المصدر: مدونة جوجل الأمنية
يغطي GUAC ثلاث مراحل لأمن سلسلة توريد البرامج
GUAC عبارة عن منصة مجانية مفتوحة المصدر تعمل على تجميع المصادر المختلفة لبيانات تعريف أمان البرامج في مصدر واحد. باعتبارها أداة أمنية، ستكون GUAC مفيدة للمؤسسات في المراحل الثلاث لتأمين البنية التحتية لبرامجها ضد هجمات سلسلة التوريد. وإليك كيف سيكون مفيدًا لكل مرحلة من هذه المراحل:
المرحلة رقم 1: استباقية
المرحلة الاستباقية هي المكان الذي تضع فيه التدابير اللازمة لمنع حدوث تسويات واسعة النطاق للبرامج على الإطلاق. في هذه المرحلة، ستحتاج إلى معرفة المكونات المهمة للنظام البيئي لسلسلة توريد البرامج التي تستخدمها كثيرًا، وسيسهل عليك GUAC التعرف عليها. باستخدام GUAC، يمكنك تحديد نقاط الضعف في البنية الأساسية للأمان بشكل عام، بما في ذلك المناطق التي تتعرض فيها لتبعيات خطيرة. بهذه الطريقة، أنت في وضع أفضل لمنع الهجمات قبل حدوثها.
المرحلة رقم 2: التشغيلية
المرحلة التشغيلية هي المرحلة الوقائية التي تحدد فيها ما إذا كان البرنامج الذي تريد استخدامه أو نشره يحدد جميع المربعات الصحيحة فيما يتعلق بالضمانات ضد مخاطر سلسلة التوريد. باستخدام GUAC، يمكنك التحقق مما إذا كان البرنامج يلبي مواقف السياسة المطلوبة أو ما إذا كان من الممكن إرجاع جميع الثنائيات الموجودة في الإنتاج إلى مستودع آمن.
المرحلة رقم 3: رد الفعل
على الرغم من كل التدابير، لا يزال من الممكن حدوث خرق لسلسلة التوريد. مرحلة رد الفعل هي حيث تحدد ما يجب فعله عند اكتشاف الاختراق. باستخدام GUAC، يمكن للمؤسسات المتضررة معرفة أي جزء من مخزونها قد تأثر بالثغرة الأمنية، ومدى تأثرها، وما هي المخاطر. ستساعد هذه المعلومات في تخفيف الهجوم ومنع تكراره في المستقبل.
ماذا يعني GUAC بالنسبة لك؟
إذن ماذا يعني GUAC بالنسبة لك كمؤسسة أو متخصص في الأمن السيبراني؟ نظرًا لأن المشروع لا يزال في مرحلة التطوير، فهناك طرق مختلفة يمكنك من خلالها المشاركة إما على المستوى الفردي أو كمنظمة.
- بالنسبة للمبتدئين، إنها دعوة للمشاركة. تظهر الإحصائيات المستقاة من دراسة استقصائية أجريت على حوالي 1,000 من مديري تكنولوجيا المعلومات أن ما يصل إلى 82% ممن تمت مقابلتهم يعتقدون أن مؤسساتهم معرضة للهجمات الإلكترونية. وهذا يعني أنه إذا كنت لا تتخذ أي إجراءات لتأمين البنية الأساسية لبرامجك، فيجب عليك القيام بذلك الآن أكثر من أي وقت مضى. تعد هذه الخطوة من جانب Google بمثابة دعوة أخرى للاستيقاظ بشأن الحاجة إلى اتخاذ المزيد من الإجراءات تجاه اتخاذها أمن سلسلة توريد البرمجيات أكثر جدية.
- ثانياً، هذه دعوة للمساهمة. يعد GUAC حاليًا مشروعًا مفتوح المصدر على Github. كل ما هو عليه الآن هو دليل على المفهوم الذي يجمع مستندات SLSA وSBOM وبطاقة الأداء لدعم البحث البسيط عن بيانات تعريف البرنامج. يرحب المشروع بالمساهمين لإضافة بيانات التعريف إلى GUAC بالإضافة إلى المستشارين الذين يمثلون احتياجات المستخدمين النهائيين.
- يعد GUAC اقترانًا جديدًا رائعًا لـ إطار عمل SLSA. إطار الأمان - وهو عبارة عن تعاون بين مختلف أصحاب المصلحة في مجال الأمن السيبراني - عبارة عن مجموعة من معايير الصناعة المتفق عليها والتي يمكن للشركات والمطورين الأفراد اعتمادها لاتخاذ قرارات أمنية مستنيرة عند إنشاء البرامج. ستساعد هاتان الوثيقتان السياساتيتان معًا في تحقيق نتائج أفضل فيما يتعلق بأمن البرامج.
- يشهد GUAC أيضًا على الأهمية المتزايدة لـ فاتورة مواد البرمجيات (سبوم). تعمل هذه القائمة الرسمية لجميع العناصر المستخدمة في البرامج على تقليل مخاطر الثغرات الأمنية للمستخدمين وتساعدهم أيضًا على معرفة كيفية التصرف ومكان البحث عن الثغرات الأمنية عند حدوث انتهاكات.
- أخيرًا، يجب أن تعلم أن الطريقة الوحيدة لضمان سلامة جميع مكونات الطرف الثالث لبرنامجك هي التأكد من أن كل كود لم تكتبه بنفسك يتم حسابه بالكامل، وأنه لا يمكن العبث به، وخالي من جميع التعليمات البرمجية الضارة. لحسن الحظ، هناك أدوات وأطر عمل لأمن سلسلة توريد البرامج يمكنها مساعدتك في مراقبة كل مكون عبر دورة حياة تطوير البرامج (SDLC) بأكملها. إليك مقالة يمكن أن تكون نقطة بداية جيدة لمساعدتك في العثور على أداة أمان سلسلة توريد البرامج المناسبة لاحتياجاتك الخاصة.
يتم تقديم هذا المحتوى إليك بواسطة Scribe Security، وهي شركة رائدة في مجال توفير حلول أمان سلسلة توريد البرامج الشاملة - حيث توفر أحدث الأمان لعناصر التعليمات البرمجية وعمليات تطوير التعليمات البرمجية وتسليمها عبر سلاسل توريد البرامج. تعرف على المزيد.
الوظائف ذات الصلة
