दुनिया भर के संगठनों को प्रभावित करने वाले व्यापक सॉफ्टवेयर में कमजोरियों से प्रेरित, अमेरिकी सरकार ने 13 जनवरी को व्हाइट हाउस में ओपन सोर्स समुदाय और प्रमुख सॉफ्टवेयर फर्मों के साथ मुलाकात की, ताकि अभिनव सॉफ्टवेयर विकास समुदाय का समर्थन करने के तरीके ढूंढे जा सकें, जबकि साथ ही संभावना को कम किया जा सके। आम सॉफ्टवेयर घटकों में भविष्य की सुरक्षा खामियों के बारे में।

व्हाइट हाउस सॉफ्टवेयर सुरक्षा शिखर सम्मेलन ने विभिन्न सरकारी एजेंसियों के अधिकारियों को एक साथ लाया जो राष्ट्रीय सुरक्षा और प्रौद्योगिकी से संबंधित प्रमुख सॉफ्टवेयर कंपनियों के प्रतिनिधियों के साथ-साथ अकामाई, अमेज़ॅन, ऐप्पल, गिटहब, Google, मेटा, माइक्रोसॉफ्ट और रेडहैट के साथ-साथ सदस्यों के साथ आए। ओपन सोर्स सॉफ्टवेयर समुदाय, जैसे अपाचे सॉफ्टवेयर फाउंडेशन और लिनक्स फाउंडेशन।

बिडेन प्रशासन ने एक बयान में कहा, शिखर सम्मेलन का उद्देश्य “कोड और ओपन सोर्स पैकेज में सुरक्षा दोषों और कमजोरियों को रोकने, दोषों को खोजने और उन्हें ठीक करने की प्रक्रिया में सुधार और सुधारों को वितरित करने और लागू करने के लिए प्रतिक्रिया समय को कम करने” के तरीके खोजना है।

हालांकि, चर्चा के केंद्र में यह है कि सुरक्षित सॉफ़्टवेयर बनाने और कमजोरियों के सामने पैचिंग को गति देने के प्रयासों में सुधार करते हुए ओपन सोर्स समुदायों का अभिनव विकास कैसे फल-फूल सकता है।

“ओपन सोर्स सॉफ्टवेयर अद्वितीय मूल्य लाता है, और इसके उपयोग की चौड़ाई और इसके चल रहे सुरक्षा रखरखाव के लिए जिम्मेदार स्वयंसेवकों की संख्या के कारण अद्वितीय सुरक्षा चुनौतियां हैं।” प्रशासन ने कहा. “प्रतिभागियों ने ओपन सोर्स सॉफ़्टवेयर की सुरक्षा में अंतर लाने के बारे में एक महत्वपूर्ण और रचनात्मक चर्चा की, जबकि ओपन सोर्स समुदाय के साथ प्रभावी ढंग से जुड़ाव और समर्थन किया।”

शिखर सम्मेलन हुआ क्योंकि कंपनियां जावा अनुप्रयोगों के लिए Log4j लॉगिंग ढांचे में एक महत्वपूर्ण भेद्यता को खोजने और पैच करने के लिए संघर्ष करना जारी रखती हैं, जिसका व्यापक रूप से उद्यम अनुप्रयोगों में उपयोग किया जाता है। मावेन सेंट्रल रिपोजिटरी पर जावा अनुप्रयोगों के 80% से अधिक, व्यापक रूप से इस्तेमाल किया जाने वाला पैकेज प्रबंधन भंडार था Log4j एक निर्भरता के रूप में – मतलब वे जावा एप्लिकेशन और घटक संभावित रूप से कमजोर हैं। जबकि भेद्यता ने अभी तक एक बड़ा समझौता नहीं किया है, अमेरिकी अधिकारियों के अनुसार, इसकी सर्वव्यापकता के कारण इस मुद्दे को ठीक होने में वर्षों लग सकते हैं।

व्यापक Vulns . का एक लंबा इतिहास
व्यापक सॉफ्टवेयर पैकेज में भेद्यता कोई नई बात नहीं है। 2014 ओपनएसएसएल में हार्दिक सुभेद्यता और यह 2018 स्पेक्टर और मेल्टडाउन कमजोरियां ने प्रदर्शित किया कि सर्वव्यापी सॉफ़्टवेयर और फ़र्मवेयर में पाए जाने वाले सुरक्षा मुद्दों की लंबी पूंछ होती है।

“दुनिया सॉफ्टवेयर पर चलती है, जो बदले में ओपन सोर्स पर निर्भर करती है, [which] इसका मतलब है कि ओपन सोर्स कोड में कमजोरियों का उन अरबों डेवलपर्स और सेवाओं पर वैश्विक लहर प्रभाव हो सकता है जो इस पर भरोसा करते हैं, “माइक हैनली, गिटहब के मुख्य सुरक्षा अधिकारी, शिखर सम्मेलन में एक बयान में कहा. “हमने देखा है कि कैसे कमजोर कोड की सिर्फ एक या दो पंक्तियाँ पलक झपकते ही स्वास्थ्य, सुरक्षा और संपूर्ण सिस्टम की विश्वसनीयता पर नाटकीय प्रभाव डाल सकती हैं।”

शिखर सम्मेलन का उद्देश्य को खोजना था सरकार और उद्योग के लिए रास्ते ओपन सोर्स कोड की सुरक्षा में सुधार के लिए एक साथ काम करना, जैसे कि सुरक्षा सुविधाओं को डेवलपर टूल और सेवाओं में एकीकृत करना और साथ ही पैकेजों को स्टोर और वितरित करने के लिए उपयोग किए जाने वाले प्लेटफॉर्म की अखंडता सुनिश्चित करना। प्रारंभिक प्रयास संभवतः लोकप्रिय और महत्वपूर्ण ओपन सोर्स सॉफ्टवेयर परियोजनाओं और पैकेजों की सुरक्षा में सुधार के तरीकों पर ध्यान केंद्रित करेंगे और डेवलपर्स और कंपनियों को उनकी निर्भरता को ट्रैक करने की अनुमति देने के लिए सामग्री के सॉफ़्टवेयर बिलों को अपनाने में तेजी लाएंगे।

अकामाई के मुख्य सुरक्षा अधिकारी बोअज़ गेलबॉर्ड कहते हैं, “यह सब ओपन सोर्स सॉफ़्टवेयर के उपयोग में दृश्यता बढ़ाने के एक सामान्य प्रयास से शुरू होता है।” “सरकारी और निजी क्षेत्र के संगठनों को ऐसे उपकरणों में निवेश करना चाहिए जो खुले स्रोत प्रौद्योगिकियों पर निर्भरता प्रकट करते हैं और, महत्वपूर्ण रूप से, पारिस्थितिकी तंत्र की सुरक्षा को मजबूत करने के लिए जोखिमों को कम करने और जोखिम को कम करने के लिए कार्रवाई करते हैं।”

स्वतंत्र ओपन सोर्स डेवलपमेंट के अभिनव और मानक-सेटिंग प्रयासों को बनाए रखने और परियोजनाओं और उत्पादों पर सुरक्षित विकास प्रथाओं को लागू करने के बीच एक संतुलन होगा, जो महत्वपूर्ण बुनियादी ढांचे का हिस्सा बन जाते हैं, जिस पर उद्योग और सरकार भरोसा करते हैं, ब्रायन बेहलडॉर्फ, कार्यकारी निदेशक कहते हैं ओपन सोर्स सिक्योरिटी फाउंडेशन (ओपनएसएसएफ)।

“आपूर्ति श्रृंखला की शुरुआत में कच्चे, कभी-कभी गन्दा, लेकिन अक्सर एक समूह में कोड लिखने की अविश्वसनीय रूप से अभिनव प्रक्रियाएं होती हैं जो अक्सर महान सॉफ़्टवेयर की ओर ले जाती हैं, ” वे कहते हैं। “यह कीमती है और नौकरशाही या आवश्यकताओं से बंधे नहीं होना चाहिए जो उन अपस्ट्रीम कोर देवों के लिए कोई मूल्य नहीं बनाते हैं।”

हालांकि, ओपनएसएसएफ यह मानता है कि कोर डेवलपर से पैकेज मैनेजर तक की श्रृंखला के प्रत्येक चरण में विकास टीमों के लिए अधिक सुरक्षित विकास प्रक्रियाओं को जोड़ने की आवश्यकता है जो अंततः सॉफ्टवेयर घटक या पुस्तकालय का उपयोग करते हैं।

बेहलेंडोर्फ कहते हैं, “लाखों सॉफ्टवेयर परियोजनाओं और डेवलपर्स की दुनिया में अब जो महत्वपूर्ण है, वह इस श्रृंखला के साथ अनौपचारिक, उच्च-विश्वास प्रक्रियाओं को और अधिक कठोर, स्वचालित उपकरण और प्रथाओं में बढ़ाने में मदद करना है।”

उद्योग ने पहले ही ओपन सोर्स सॉफ्टवेयर, साथ ही अपने स्वयं के सॉफ्टवेयर उत्पादों को सुरक्षित करने में निवेश करना शुरू कर दिया है। अगस्त में इसी तरह के शिखर सम्मेलन में, Google और Microsoft सॉफ्टवेयर सुरक्षा और साइबर सुरक्षा प्रयासों पर अरबों खर्च करने का संकल्प लिया अगले पांच वर्षों में। उदाहरण के लिए, Google ने सुरक्षा को एकीकृत करने के लिए एक अदृश्य सुरक्षा पहल के लिए प्रतिबद्ध किया है ताकि डेवलपर्स और व्यवसाय लाभ प्राप्त कर सकें, और ओपनएसएसएफ के साथ भी काम किया है। डेवलपर्स के लिए उपकरण. अकामाई ओपन सोर्स कम्युनिटी को के तरीके खोजने में मदद करने के लिए प्रतिबद्ध है सॉफ्टवेयर में कमजोरियों का पता लगाएं और हमलों को रोकें, लेकिन मान्यता है कि काम अभी शुरू हो रहा है।

अकामाई के गेलबॉर्ड कहते हैं, “हालांकि यह कार्यकारी आदेश सही दिशा में एक कदम है, लेकिन खुले स्रोत समुदाय को हमारे लगातार विकसित होने वाले खतरे के परिदृश्य में पनपने के लिए और अधिक करने की आवश्यकता है।”

पिछले साल, बिडेन प्रशासन एक कार्यकारी आदेश जारी किया साइबर सुरक्षा पर जो पिछले प्रशासनों की तुलना में अधिक विस्तृत होने के लिए व्यापक रूप से प्रशंसा की गई थी। इसके अलावा, प्रशासन ने अक्टूबर में घोषणा की कि यह होगा साइबरस्पेस और डिजिटल नीति ब्यूरो बनाएं इस मुद्दे पर अंतरराष्ट्रीय कूटनीति का नेतृत्व करने के लिए अमेरिकी विदेश विभाग के भीतर।


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here