نرم افزار

تحقیقات نشان می دهد که نرم افزار های تجاری دارای نقص های امنیتی هستند

نقص امنیتی نرم افزار تجاری
14 آذر

بر اساس تحقیقات جدیدی که چند روز پیش منتشر شد، تعدادی از برنامه‌ های کاربردی تجاری محبوب از مرورگر ها گرفته تا برنامه‌ های پیام‌ رسان و جلسات مجازی، همگی حاوی اجزای منبع باز با آسیب‌ پذیری‌ های امنیتی بودند. تحقیقی که توسط Osterman Research انجام شد همچنین نشان داد که از محبوب ترین مرورگر های تجاری، ایمیل، اشتراک گذاری فایل، جلسات آنلاین و پیام رسان های آزمایش شده، حدود 85 درصد دارای حداقل یک بخش آسیب پذیر حیاتی هستند. در این پست نقص های امنیتی نرم افزار های تجاری که در این تحقیقات فاش شده اند را بررسی می کنیم.

“نرم‌ افزار های تجاری اغلب شامل مؤلفه‌ های منبع باز هستند، که بسیاری از آن ها حاوی طیف وسیعی از آسیب‌ پذیری‌ های شناخته شده هستند که می‌ توانند توسط بدافزار ها مورد سوء استفاده قرار گیرند، اما فروشندگان اغلب وجود آن ها را فاش نمی‌ کنند.”

مایکل سامپسون، تحلیلگر ارشد Osterman

وی افزود:

“این نقص های امنیتی در نرم افزار های تجاری اساساً یک بمب ساعتی است که خطر کمبود امنیت شرکت، سطح بالاتر حمله های سایبری و احتمال تهدید شدن توسط مجرمان سایبری را افزایش می‌ دهد.”

نرم افزار های تجاری ای مانند جلسات آنلاین و جذب مشتری با ایمیل، که دارای بالاترین میانگین نقص های امنیتی و آسیب‌ پذیری بودند، پر مخاطب‌ ترین مقوله‌ هایی بودند که محققان در مورد آن ها مطالعه کردند.

بسیاری از این نرم افزار های جلسات آنلاین به دلیل شیوع بیماری کرونا بیشتر استفاده شدند. کریستین سیمکو، مدیر فروش GrammaTech، یک شرکت تست امنیت نرم افزار است، توضیح داد که چرا نرم افزار های جلسات آنلاین دارای اجزای منبع باز و آسیب‌ پذیری بیشتری هستند.

او افزود که نرم افزار های ایمیل و پیام‌ رسان ممکن است دارای نقص‌ های زیادی باشند، زیرا به Open SSL، یک پروتکل ارتباطی منبع باز وابسته هستند. او گفت SSL منبع باز بسیار رایج است و یک جزء منبع باز بسیار آسیب پذیر است.

به گفته اوسترمن Open SSL حدود 9.6 درصد از نقص های امنیتی منبع باز موجود در همه نرم افزار های تجاری را به خود اختصاص داده است.

نظارت بهتر بر نقص های امنیتی نرم افزار های تجاری لازم است

نظارت بهتر بر نقص های امنیتی نرم افزار های تجاری لازم است

ساریو نایار، مدیر عامل Gurucul، یک شرکت اطلاعاتی، اظهار داشت که نرم افزار های منبع باز به همان اندازه ایمن یا حتی امن تر از اکثر نرم افزار های تجاری هستند. او گفت رویکرد جمع‌ سپاری برای مشارکت‌ های نرم‌ افزاری معمولاً آسیب‌ پذیری‌ ها را به سرعت شناسایی و برطرف می‌ کند.

او افزود:

“با این حال، سازمان‌ هایی که از کتابخانه‌ های منبع باز یا نرم‌ افزار های دیگر استفاده می‌ کنند، موظف اند که استفاده از پروتکل های منبع باز را در نرم‌ افزار خود نظارت و بررسی کنند، و نرم‌ افزار های منبع باز تجاری ای را که دارای نقص امنیتی هستند ایمن کنند.”

او ادامه داد:

“بسیاری از سازمان‌ ها صراحتاً به خود زحمت نمی‌ دهند فهرستی دقیق از کد های منبع باز استفاده شده داشته باشند، و استاندارد های پیام را برای کتابخانه‌ های منبع باز خود دنبال نمی‌ کنند. این باعث می‌ شود که به دلیل نسخه‌ ای که استفاده می‌ کنند، در برابر حملات به اکسپلویت‌ های شناخته‌ شده آسیب‌ پذیر باشند.»

اندی مایر، مدیر ارشد فناوری GrammaTech، افزود:

«سازمان‌ ها کد سفارشی خود را به طور کامل بررسی می‌ کنند، اما در مورد کد های منبع باز و تجاری دقیق نیستند».

او توضیح داد که سازندگان نرم‌ افزار های تجاری از اجزای منبع باز و شخص ثالث برای رفع محدودیت‌ های زمانی و هزینه‌ ای که ممکن است تحت آن باشند، استفاده می‌ کنند. این واقعیت که آن ها از این قطعات کد بدون آزمایش خودشان استفاده می‌ کنند، نشان دهنده مشکل سرعت و نیاز به تسریع چرخه‌ های انتشار است. “آن ها برای انجام آن تحت فشار هستند.”

همه بخش های منبع باز برابر نیستند

تویسکی کورن، مدیر ارشد فناوری Aqua Security، یک شرکت امنیت کانتینری اظهار داشت: خطری که کد های منبع باز برای برنامه‌ ها ایجاد می‌ کنند، کمتر به خود مؤلفه مربوط می‌ شود تا زنجیره تأمین امنیتی ای که از آن پشتیبانی می‌ کند.

او گفت همه چیز به میزان حکمرانی و نظارت بر می گردد که پروژه های منبع باز اغلب فاقد آن هستند. ما باید بین پروژه‌ هایی که توسط سازمان‌ ها، شرکت‌ های نرم‌ افزاری یا شخص ثالث حمایت و نگهداری می‌ شوند، و پروژه‌ هایی که توسط افراد یا گروه‌ های سازمان‌ دهی نشده ایجاد شده و هنوز هم وجود دارند، تفاوت قائل شویم.

او ادامه داد:

“دسته اخیر بیشترین خطر را برای نرم افزار ها معرفی می‌ کند. به دلیل این که این پروژه‌ ها نمی‌ توانند روی تست‌ های امنیتی سرمایه‌ گذاری کنند، توافق‌ نامه‌ های سطح خدمات را برای رفع مشکل ارائه نمی‌ کنند، و به طور بالقوه می‌ توانند هدف مهاجمانی باشند که سعی در مشارکت در کد های مخرب دارند.”

شاون اسمیت، مدیر زیرساخت در nVisium، ارائه‌ دهنده امنیت نرم افزار های مبتنی بر Herndon، توصیه کرد: از آنجایی که سازمان‌ ها کنترلی بر تغییرات ایجاد شده در مؤلفه‌ های منبع باز ندارند، باید از زمان ایجاد تغییرات در آن ها آگاه باشند.

او گفت استفاده از کد هایی که منبع باز هستند، تا زمانی که به درستی منبع را برای مشکلات ممیزی کنید، علاوه بر انجام ممیزی‌ های مداوم هر زمان که این وابستگی را در پلتفرم خود به‌روزرسانی می‌ کنید، کاملاً خوب است.

کوین دان، رئیس Pathlock، یک ارائه‌ دهنده ارکستراسیون دسترسی یکپارچه اضافه کرد، بسیاری از سازمان‌ ها تیم‌ های داخلی خود را برای تمرکز بر رفع مشکلات امنیتی گزارش‌ شده در برابر مؤلفه‌ های منبع بازشان موظف می کنند.

او گفت مزایای مؤلفه‌ های منبع باز این است که تیم‌ ها می‌ توانند کد های داخلی خود را برای رفع مشکلات مربوط به آن‌ ها ایجاد کنند، اما این کار هزینه دارد.

لایحه مواد نرم افزاری

یکی از راه های کاهش خطر استفاده از اجزای منبع باز در نرم افزار، افزودن شفافیت به فرآیند بررسی است. دن نورمی، مدیر ارشد فناوری Anchore، یک شرکت امنیت کانتینر اظهار داشت که حل مشکل با دیدن مشکل شروع می‌ شود.

او گفت، سازمان‌ها باید منابع متن باز کامل را درک کنند. یکی از راه های بدست آوردن این درک از طریق لایحه مواد نرم افزاری (SBOM) است که تمام اجزا و وابستگی های یک نرم افزار کاربردی را فهرست می کند.

“مشاهده‌ ی لایحه نرم‌ افزار می‌ تواند به شفافیت و دید در کل چشم‌ انداز شخص ثالث کمک کند، و می‌ تواند به شما کمک کند تا درک بهتری از استفاده از یک ابزار خاص داشته باشید.”

دمی بن‌ آری، یکی از بنیان‌ گذاران و مدیر ارشد فناوری Panorays

پوراندار داس، مدیر عامل و یکی از بنیانگذاران سوترو، یک شرکت حفاظت از داده اضافه کرد، داشتن لیستی از مؤلفه‌ ها همیشه برای سازمان‌ ها و تیم‌ های آن ها برای نظارت بر آسیب‌ پذیری‌ ها و نقص های امنیتی منتشر شده و تازه کشف‌ شده مفید است.

او گفت، این کار همچنین شناسایی کد هایی که باید اعمال شوند را آسان‌ تر می‌ کند. نورمی توضیح داد که ایجاد صورتحساب‌ های نرم‌ افزاری یک روش رایج در این صنعت است، اما رسمی نشده است.

او گفت، راهنمای زیادی در مورد اینکه چه نوع اطلاعاتی مربوط به اشتراک گذاری اطلاعات بین سازمانی است، وجود ندارد. کورن خاطر نشان کرد که یک صورت حساب لایحه نرم افزاری خوب باید اجزای دقیق مورد استفاده در نرم افزار را نشان دهد.

او ادامه داد، شفافیت بهتر از پنهان کردن این مؤلفه‌ ها است، اما افشای آن ها میزان خطرات را در نرم‌ افزار کاهش نمی‌ دهد. کاری که یک BOM می تواند انجام دهد این است که بر فروشندگان و کاربران فشار بیاورد تا به خطرات امنیتی و حاکمیت در اجزای منبع باز توجه کنند. وی توضیح داد که کاربران نرم افزار می توانند به راحتی آسیب پذیری های موجود در این مؤلفه ها را پیدا کنند و برای کاهش آن ها تلاش کنند. افشای اطلاعات همچنین نشان می‌ دهد که آیا فروشنده با انتشار کد های متن‌ باز همراهی می‌ کند یا خیر.

او افزود، همه این ها نیازمند کار است، و در حال حاضر ترجیح شرکت ها این است که مشکل را نادیده بگیرند تا نرم‌ افزار بتواند به کار خود ادامه دهد. امیدواریم این پست شفاف سازی لازم را در مورد خطرات امنیتی ای که توسط نرم افزار های تجاری وجود دارد را انجام داده باشد. همچنین شما می توانید مقاله دیگر ما در مورد افزایش امنیت روتر را مطالعه کنید.

منبع: technewsworld

بازدید پست ها: 511
برچسب‌ها:
,
بعدی آموزش استفاده از نرم افزار مایکروسافت تیمز در سیستم عامل های مختلف
برگشت به لیست
قبلی امکان ساخت استیکر سفارشی در آپدیت جدید واتساپ و نحوه استفاده از آن

Gerelateerde berichten

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *