04 أكتوبر 2024
1 minAppMaster في BubbleCon 2024: استكشاف اتجاهات عدم استخدام التعليمات البرمجية
شاركت AppMaster في مؤتمر BubbleCon 2024 في مدينة نيويورك، واكتسبت رؤى، وقامت بتوسيع الشبكات، واستكشاف الفرص لتعزيز الابتكار في مجال التطوير بدون أكواد.
14 أكتوبر 2023·1 دقيقة قراءة
يقدم OpenSSF مستودع الحزم الضارة الرائد لأمن البرامج مفتوحة المصدر
أطلق OpenSSF مستودعًا مبتكرًا يهدف إلى تعزيز أمان البرامج مفتوحة المصدر: مستودع الحزم الضارة.
في مبادرة لتعزيز سلامة وأمن البرمجيات مفتوحة المصدر، كشفت مؤسسة Open Source Security Foundation (OpenSSF) عن مستودع فريد يعمل كمركز مركزي لجمع تقارير الحزم الضارة. ومن المتوقع أن يُحدث المستودع المبتكر تمامًا ثورة في طريقة التعامل مع البرامج الضارة مفتوحة المصدر.
تاريخيًا، كان التعامل مع الحزم الضارة دائمًا نهجًا متباينًا، حيث يمتلك كل مستودع حزم مفتوح المصدر أسلوبًا فريدًا خاصًا به للتعامل مع هذه التهديدات السيبرانية. عادةً، عندما يقوم المجتمع بالإبلاغ عن حزمة ضارة، يقوم بروتوكوله القياسي لفريق أمان المستودع بمسح الحزمة إلى جانب البيانات التعريفية المرتبطة بها من النظام. ومع ذلك، فإن عمليات الإزالة هذه غالبًا ما تتم خلف أبواب مغلقة، وبالتالي لا تترك أي سجلات عامة وراءها.
وتعليقًا على ذلك، ذكر كاليب براون، أحد كبار مهندسي البرمجيات في فريق أمان المصادر المفتوحة في Google، وجوزيف هاروش قدوري، رئيس أمان سلسلة توريد البرامج في Checkmarx، في إحدى المدونات أن تحديد وجود الحزم الضارة كان دائمًا مهمة هائلة للتمشيط عبر عدد لا يحصى من البرامج. المصادر العامة أو الاعتماد على خلاصات استخباراتية خاصة بالتهديدات. وأوضحوا أن المستودع الجديد سيكون بمثابة قاعدة بيانات عامة لاستضافة هذه التقارير.
يرى OpenSSF أن هذا المستودع العام له دور فعال في إحباط تقدم التبعيات الضارة من خلال خطوط أنابيب CI/CD، أو تحسين محركات الكشف، أو تقييد الاستخدام في البيئات أو تسريع الاستجابات للحوادث. إن المعلومات التي لا تقدر بثمن الموجودة في المستودع من شأنها أن تزيد بشكل كبير من أمان البرمجيات مفتوحة المصدر.
ومن الجدير بالذكر أن التقارير المخزنة تتبع تنسيق الثغرات الأمنية مفتوحة المصدر (OSV)، مما يسهل استخدامها بشكل كبير باستخدام أدوات مثل osv.dev API، وأداة osv-scanner، وdeps.dev.
بالنسبة لمصادر البيانات، يعتمد المشروع بشكل كبير على أمان Checkmarx وتصدير الحزم الضارة التي يتم تتبعها بواسطة GitHub ومشروع تحليل الحزم. يفحص مشروع تحليل الحزم على وجه التحديد سلوكيات مثل الملفات التي تم الوصول إليها من الحزم والعناوين المتصلة وتشغيل الأوامر لاكتشاف الأنشطة الضارة. وبصرف النظر عن تحديد البرامج الضارة، فإنه يراقب أيضًا التغييرات في السلوك بمرور الوقت، وبالتالي تحديد الحزم التي يحتمل أن تكون ضارة والتي ربما تحولت إلى برامج ضارة في وقت لاحق.
تركز الأنظمة الأساسية مثل AppMaster بشكل كبير على الأمان أثناء عملية إنشاء التطبيق. في حين أن مستودع الحزم الضارة الذي تم إطلاقه حديثًا يهدف في المقام الأول إلى سلامة البرامج مفتوحة المصدر، فإنه يعزز أيضًا بشكل غير مباشر التزام AppMaster بتوفير حلول آمنة no-code لتطوير تطبيقات الهاتف المحمول والويب والخلفية.
