برای سالها توسعهدهندگان نرمافزارهای رایگان و Open Source اظهار میکردند که پروژههایشان نیازمند کمک مالی بهتر و نظارت بیشتری است، حالا پس از رخ دادن چندین مورد حادثهی سایبری که نرمافزارهای اپن سورس در آنها دخیل بودهاند کاخ سفید و مدیران سیلیکونولی بالاخره ممکن است به حرف توسعهدهندگان گوش دهند.
در نشستی که دو روز پیش و در پنجشنبهی هفته گذشته در کاخ سفید برگزار شد، بزرگترین کمپانیهای تکنولوژی آمریکا در آن شرکت داشتند و با مقامات دولت فدرال در مورد ایجاد امنیت بهتر برای نرمافزارهای Open Source بحث کردند. لیست شرکتکنندگان شامل کمپانیهای بزرگی مانند گوگل، فیسبوک (متا)، مایکروسافت، آمازون، اوراکل و اپل میشود.
برخلاف نرمافزارهای اختصاصی، نرمافزارهای اپن سورس رایگان هستند، شفاف و قابل بازرسی و نظارت عمومی است و حتی افراد میتوانند در آنها تغییرات ایجاد کنند. بیشتر شرکتها اغلب از نرمافزارهای Open Source به عنوان ابزاری برای توسعه و رفع نیازهای شرکتی خود استفاده میکنند. متاسفانه پروژههای اپن سورس برای ایمن ماندن نیاز به نظارت زیاد و بودجه مالی دارند و به دلیل اینکه کد منبع آنها باز است، مجرمین سایبری میتوانند با نظارت و حتی دستکاری کدهای آنها (Open source intelligence) آسیبپذیرهای احتمالی را کشف کنند.
سالها بود که توسعهدهندگان نرمافزارهای متن باز از شرکتهای بزرگ تکنولوژی شاکی بودهاند و اعلام میکردند که این شرکتهای عظیم، کمک مالی قابل توجهای به این پروژهها نمیکنند. حالا به نظر میرسد که این موضوع توجه دولت آمریکا و مدیرعاملان ردهبالای این شرکتها را جلب کرده است.
درک اینکه چرا کاخ سفید جلسه خود را تشکیل داده است سخت نیست. تقریبا یک ماه پیش بود که آسیبپذیری گسترده و خطرناک log4j که در نرمافزار اپن سورس سرویس لاگکردن Apache بود، امنیت اینترنت را تحت تاثیر قرار داد. این برنامهی مشکلدار که تقریبا توسط اکثر شرکتها استفاده میشود، به وحشت گستردهای در صنعت تکنولوژی انجامید و شرکتها شبانه روز در تلاش بودند که سیستمها و کسبوکار خود را ایمن نگه دارند. لازم به ذکر است افرادی از بنیاد نرمافزار Apache نیز در جلسه کاخ سفید حاضر بودند.
Log4j تنها مشکل مربوط به سرویسهای اپن سورس نیست که اخیرا رخ داده است. هفتهی گذشته خالق دو نرمافزار پرکاربرد، تصمیم گرفت نرمافزارهای خود را به طرز عجیب و با ارائه دو آپدیت جدید کاملا غیرفعال کند. Marak Squires توسعهدهندهی کتابخانههای جاوااسکریپت با نامهای Faker و Colors به دلایل نامشخص نرمافزارهای خود را از کار انداخت و باعث شد هزاران نرمافزار دیگر که به این کتابخانههای جاوااسکریپت متکی بودند نیز از کار بیفتند.
واضح است که برای ارتقای امنیت نرمافزارها و رفع نیازهای جامعهی اپن سورس تلاشهایی باید صورت گیرد و شرکتکنندگان در جلسه اخیر کاخ سفید نیز از این مسئله استقبال کردند. در این رویداد، مشاور امنیت ملی کاخ سفید جیک سالیوان نرمافزارهای Open Source را مسئله مهم امنیت ملی آمریکا عنوان کرد. در همین راستا کنت واکر (Kent Walker) رئیس امور جهانی و مدیرحقوقی گوگل، روز پنجشنبه در بیانیهای که در وبلاگ گوگل منتشر کرد توضیح داد که او میخواهد حمایت بهتری از جامعهی توسعهدهندگان نرمافزار اپل سورس ببیند.
او در بخشی از صحبتهای خود گفت:
” برای مدت طولانی فرض عمومی بر این بوده است که نرمافزارهای اپن سورس به دلیل شفافیت و نظارت زیاد بر روی آنها و حل مشکلات و باگها، ایمن است. اما در حالی که بعضی پروژهها نظارت زیادی بر روی آنها صورت میگیرد، برخی دیگر نظارت ضعیفتر و یا حتی هیچ نظارت امنیتی بر آنها حاکم نیست.”
واکر در بیانیهی خود به اهمیت افزایش پشتیبانی دولتی و نهادهای خصوصی از پروژههای Open Source و ایجاد مراحل تست امنیتی نرمافزار، اشاره کرد. او همچنین خواستار ایجاد قوانین نظارتی بیشتر، برای بررسی آسیبپذیریهای بحرانی در نرمافزارهای اپن سورسی که استفادهی گسترده دارند نیز شد. منظور او نرمافزارهایی شبیه به log4j است.
دقیق مشخص نیست که دولت آمریکا و شرکتهای تکنولوژی چه برنامهای برای بهبود وضعیت امنیتی نرمافزارهای اپن سورس دارند اما این واقعیت که آنها در این مورد جلسه برگزار میکنند و در این ارتباط گفتوگو میکنند نشانهی خوبی است.
توسط 
دیدگاهتان را بنویسید