การค้นพบแบ็คดอร์ในยูทิลิตี้การบีบอัดข้อมูล XZ Utils เมื่อเร็วๆ นี้ ซึ่งมีอยู่ในลีนุกซ์รุ่นหลักเกือบทั้งหมด ถือเป็นเครื่องเตือนใจว่าองค์กรที่ใช้ส่วนประกอบโอเพ่นซอร์สในท้ายที่สุดจะต้องรับผิดชอบในการรักษาความปลอดภัยของซอฟต์แวร์
XZ Utils ก็เหมือนกับโปรเจ็กต์โอเพ่นซอร์สอื่นๆ อีกหลายพันโปรเจ็กต์ที่ดำเนินการโดยอาสาสมัคร และในกรณีนี้มีผู้ดูแลเพียงคนเดียวที่จัดการมัน โปรเจ็กต์ดังกล่าวมักมีทรัพยากรเพียงเล็กน้อยหรือไม่มีเลยในการจัดการปัญหาด้านความปลอดภัย ซึ่งหมายความว่าองค์กรต่างๆ ต้องใช้ซอฟต์แวร์โดยยอมรับความเสี่ยงเอง นั่นหมายความว่าทีมรักษาความปลอดภัยและการพัฒนาจะต้องใช้มาตรการในการจัดการความเสี่ยงโอเพ่นซอร์สในลักษณะเดียวกับที่พวกเขาทำกับโค้ดที่พัฒนาขึ้นภายใน ผู้เชี่ยวชาญด้านความปลอดภัยกล่าว
“แม้ว่าองค์กรจะไม่น่าจะสามารถป้องกันความเสี่ยงในห่วงโซ่อุปทาน [ทั้งหมด] ได้อย่างมีประสิทธิภาพ แต่องค์กรต่างๆ ก็สามารถมุ่งเน้นไปที่กลยุทธ์เพื่อลดโอกาสที่การโจมตีในห่วงโซ่อุปทานจะประสบความสำเร็จได้” Jamie Scott ผู้ก่อตั้งผู้จัดการผลิตภัณฑ์ของ Endor Labs กล่าว
โอเพ่นซอร์สไม่เหมือนกับการเอาท์ซอร์ส: “ผู้ดูแลซอฟต์แวร์โอเพ่นซอร์สนั้นเป็นอาสาสมัคร ในระดับอุตสาหกรรม เราต้องปฏิบัติต่อพวกเขาเช่นนี้ เราเป็นเจ้าของซอฟต์แวร์ของเรา เรารับผิดชอบต่อซอฟต์แวร์ที่เราใช้ซ้ำ”
มีเจตนาดี มีทรัพยากรไม่เพียงพอ
ความกังวลเกี่ยวกับความปลอดภัยของซอฟต์แวร์โอเพ่นซอร์ส ไม่ใช่เรื่องใหม่เลย แต่มักจะต้องใช้การค้นพบเช่น ช่องโหว่ Log4Shell และ แบ็คดอร์ใน XZ Utils เพื่อขับเคลื่อนกลับบ้านอย่างแท้จริงว่าองค์กรต่างๆ มีช่องโหว่ต่อส่วนประกอบต่างๆ ในโค้ดของตนเพียงใด และบ่อยครั้งที่โค้ดมาจากโปรเจ็กต์โอเพ่นซอร์สที่มีเจตนาดีแต่ยังขาดทรัพยากรอย่างสิ้นหวังซึ่งได้รับการดูแลรักษาเพียงเล็กน้อย
ตัวอย่างเช่น XZ Utils นั้นเป็นโปรเจ็กต์ที่มีคนเพียงคนเดียว อีกคนจัดการได้ แอบเข้าไปในประตูหลังเข้าไปในยูทิลิตี้ ตลอดระยะเวลาเกือบ 3 ปี โดยค่อยๆ ได้รับความไว้วางใจจากผู้ดูแลโครงการมากพอ หากนักพัฒนา Microsoft ไม่มีโอกาสพบมันในช่วงปลายเดือนมีนาคมเมื่อตรวจสอบพฤติกรรมแปลก ๆ ที่เกี่ยวข้องกับการติดตั้ง Debian ประตูหลังอาจไปจบลงที่อุปกรณ์หลายล้านเครื่องทั่วโลก รวมถึงอุปกรณ์ที่เป็นขององค์กรขนาดใหญ่และหน่วยงานของรัฐด้วย ปรากฎว่าแบ็คดอร์ได้รับผลกระทบเพียงเล็กน้อย เนื่องจากกระทบกับเวอร์ชันของ XZ Utils ที่มีอยู่ใน Debian, Fedora, Kali, open SUSE และ Arch Linux เวอร์ชันที่ไม่เสถียรและเบต้าเท่านั้น
การประนีประนอมโค้ดโอเพ่นซอร์สครั้งต่อไปอาจเลวร้ายกว่ามาก “ส่วนที่น่ากลัวที่สุดสำหรับองค์กรองค์กรก็คือแอปพลิเคชันของพวกเขาสร้างขึ้นจากโครงการซอฟต์แวร์โอเพ่นซอร์สเช่นเดียวกับ XZ Utils” Donald Fischer ผู้ร่วมก่อตั้งและ CEO ของ Tidelift กล่าว “XZ Utils เป็นแพ็คเกจเดียวที่มีจำนวนนับหมื่นที่ใช้งานทุกวันโดยองค์กรองค์กรทั่วไป” เขากล่าว
องค์กรเหล่านี้ส่วนใหญ่ขาดการมองเห็นที่เพียงพอในเรื่องความปลอดภัยและความยืดหยุ่นของห่วงโซ่อุปทานซอฟต์แวร์ในส่วนนี้เพื่อให้สามารถประเมินความเสี่ยงได้ เขากล่าว
เมื่อเร็ว ๆ นี้ Harvard Business School การศึกษาประเมินมูลค่าด้านอุปสงค์ของซอฟต์แวร์โอเพ่นซอร์สว่าน่าประหลาดใจที่ 8.8 ล้านล้านดอลลาร์ ผู้ดูแลถือเป็นหัวใจสำคัญของระบบนิเวศนี้ และหลายคนก็บินเดี่ยว Fischer กล่าว การสำรวจที่จัดทำโดย Tidelift เมื่อปีที่แล้วพบว่า 44% ของผู้ดูแลโครงการโอเพ่นซอร์สอธิบายว่าตนเองเป็นผู้ดูแลโครงการของตนเพียงผู้เดียว หกสิบเปอร์เซ็นต์ระบุว่าตนเองเป็นผู้ทำงานอดิเรกโดยไม่ได้รับค่าตอบแทน และเปอร์เซ็นต์เดียวกันกล่าวว่าพวกเขาลาออกหรือพิจารณาที่จะลาออกจากบทบาทผู้ดูแลโครงการ ผู้ดูแลหลายคนอธิบายว่าความพยายามของพวกเขาเป็นงานที่เครียด โดดเดี่ยว และไม่มีผลตอบแทนทางการเงิน Fischer กล่าว
“การแฮ็กข้อมูลโดยใช้ XZ ช่วยลดความเสี่ยงจากการลงทุนน้อยเกินไปในด้านสุขภาพและความยืดหยุ่นของห่วงโซ่อุปทานซอฟต์แวร์โอเพ่นซอร์ส [ที่] องค์กรองค์กรพึ่งพา” Fischer กล่าว “องค์กรองค์กรจำเป็นต้องตระหนักว่าแพ็คเกจโอเพ่นซอร์สที่มีการพึ่งพามากที่สุดส่วนใหญ่นั้นได้รับการดูแลโดยอาสาสมัครที่อธิบายตัวเองว่าเป็นงานอดิเรกที่ไม่ได้รับค่าจ้าง ผู้ดูแลเหล่านี้ไม่ใช่ซัพพลายเออร์ระดับองค์กร แต่ได้รับการคาดหวังให้ทำงานและส่งมอบเช่นเดียวกับพวกเขา”
อันตราย: การพึ่งพาสกรรมกริยา
A การศึกษาที่ Endor ดำเนินการ ในปี 2022 พบว่า 95% ของช่องโหว่โอเพ่นซอร์สมีอยู่ในสิ่งที่เรียกว่าการพึ่งพาแบบสกรรมกริยา หรือแพ็คเกจหรือไลบรารีโอเพ่นซอร์สรองที่แพ็คเกจโอเพ่นซอร์สหลักอาจพึ่งพา บ่อยครั้งที่แพ็คเกจเหล่านี้เป็นแพ็คเกจที่นักพัฒนาไม่ได้เลือกเองโดยตรง แต่จะถูกใช้งานโดยอัตโนมัติโดยแพ็คเกจโอเพ่นซอร์สในโครงการพัฒนาของพวกเขา
“ตัวอย่างเช่น เมื่อคุณเชื่อถือแพ็คเกจ Maven หนึ่งแพ็คเกจ โดยเฉลี่ยแล้วจะมีการพึ่งพาเพิ่มเติมอีก 14 รายการที่คุณเชื่อถือโดยปริยาย” Scott กล่าว “ตัวเลขนี้ยิ่งใหญ่กว่านั้นในระบบนิเวศของซอฟต์แวร์บางระบบ เช่น NPM โดยที่คุณนำเข้าส่วนประกอบซอฟต์แวร์อื่นๆ โดยเฉลี่ย 77 รายการสำหรับทุกคนที่คุณไว้วางใจ”
วิธีหนึ่งในการเริ่มต้นลดความเสี่ยงของโอเพ่นซอร์สคือการใส่ใจกับการพึ่งพาเหล่านี้และเลือกโปรเจ็กต์ที่คุณเลือก เขากล่าว
องค์กรต่างๆ ควรตรวจสอบการพึ่งพา โดยเฉพาะอย่างยิ่งแพ็คเกจขนาดเล็กแบบใช้ครั้งเดียวซึ่งดูแลโดยทีมงานแบบหนึ่งและสองคน กล่าวเสริม Dimitri Stiliadis CTO ของ Endor และผู้ร่วมก่อตั้ง พวกเขาควรพิจารณาว่าการขึ้นต่อกันในสภาพแวดล้อมของตนมีการควบคุมความปลอดภัยที่เหมาะสมหรือไม่ หรือบุคคลคนเดียวยอมรับรหัสทั้งหมดหรือไม่ พวกเขามีไฟล์ไบนารี่ในที่เก็บซึ่งไม่มีใครรู้หรือไม่ หรือแม้กระทั่งถ้ามีคนคอยดูแลโปรเจ็กต์นี้อย่างจริงจัง Stiliadis กล่าว
“มุ่งเน้นความพยายามของคุณในการปรับปรุงประสิทธิภาพการตอบสนองของคุณ - การควบคุมพื้นฐาน เช่น การรักษาสินค้าคงคลังซอฟต์แวร์ที่สมบูรณ์ ยังคงเป็นหนึ่งในโปรแกรมที่มีมูลค่าสูงสุดที่คุณสามารถมีเพื่อระบุ กำหนดขอบเขต และตอบสนองต่อความเสี่ยงของซอฟต์แวร์ได้อย่างรวดเร็ว เมื่อมีการระบุความเสี่ยงเหล่านั้น” Scott ให้คำแนะนำ
เครื่องมือวิเคราะห์องค์ประกอบของซอฟต์แวร์ เครื่องสแกนช่องโหว่ ระบบ EDR/XDR และ SBOM ล้วนสามารถช่วยองค์กรระบุส่วนประกอบโอเพ่นซอร์สที่มีช่องโหว่และถูกบุกรุกได้อย่างรวดเร็ว
ยอมรับภัยคุกคาม
“การลดความเสี่ยงจะเริ่มต้นด้วยความเข้าใจและการรับทราบร่วมกันในกลุ่มผู้บริหารระดับสูง และแม้แต่ในระดับบอร์ดบริหารที่ประมาณ 70% ของส่วนประกอบของผลิตภัณฑ์ซอฟต์แวร์โดยเฉลี่ยเป็นซอฟต์แวร์โอเพ่นซอร์สที่ในอดีตสร้างขึ้นโดยผู้มีส่วนร่วมส่วนใหญ่ที่ไม่ได้รับการชดเชย” Fischer จาก Tidelift กล่าว
กฎระเบียบและแนวปฏิบัติใหม่ในอุตสาหกรรมบริการทางการเงิน, FDA และ NIST จะกำหนดวิธีการพัฒนาซอฟต์แวร์ในปีต่อๆ ไป และองค์กรต่างๆ จำเป็นต้องเตรียมพร้อมในตอนนี้ “ผู้ชนะที่นี่จะปรับตัวจากกลยุทธ์เชิงรับไปเป็นกลยุทธ์เชิงรุกเพื่อจัดการความเสี่ยงที่เกี่ยวข้องกับโอเพ่นซอร์สอย่างรวดเร็ว” เขากล่าว
Fischer แนะนำให้องค์กรได้รับทีมรักษาความปลอดภัยและวิศวกรเพื่อระบุว่าส่วนประกอบโอเพ่นซอร์สใหม่ๆ เข้ามาในสภาพแวดล้อมของตนได้อย่างไร พวกเขาควรกำหนดบทบาทในการตรวจสอบองค์ประกอบเหล่านี้และกำจัดองค์ประกอบที่ไม่เหมาะสมกับความเสี่ยงของบริษัทในเชิงรุก “การตอบสนองต่อปัญหาระยะสุดท้ายกลายเป็นวิธีที่ไม่มีประสิทธิภาพในการจัดการกับระดับความเสี่ยงต่อธุรกิจในช่วงหลายปีที่ผ่านมา และ รัฐบาลสหรัฐฯ กำลังส่งสัญญาณ ยุคนั้นกำลังจะสิ้นสุดลง” เขากล่าว
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/application-security/xz-utils-scare-exposes-hard-truths-in-software-security
