چطور از ابزارهای Open Source محافظت کنیم؟

نرم افزار رایگان و متن باز (Free and open source software (FOSS برای توسعه بسیاری از فناوری‌هایی که ما هر روز استفاده می‌کنیم از ماشین گرفته تا تلفن و هواپیما و … ضروری است. در حالی که به طور سنتی این ابزارها توسط جمعی از توسعه‌دهندگان داوطلب توسعه می‌یابد و به صورت رایگان منتشر می‌شوند، شرکت‌ها هم هر روز  نقش فعال‌تری در توسعه آن پیدا می‌کنند. سازمان‌ها، شرکت‌های Open Source را می‌خرند، فرایند توسعه را در داخل سازمان ادامه می‌دهند و نسخه‌های انتفاعی محصولات FOSS خود را تولید می‌کنند. در حالی که این کار ممکن است آینده این نرم‌افزارهای ضروری را به خطر بیندازند.

وظیفه شرکت‌ها در قبال نرم‌افزارهای متن باز چیست؟

برای حفظ دوام و امنیت FOSS، شرکت ها باید:

1.  سیاستی روشن در قبال Open Source داشته باشند؛ ترجیحاً سیاستی که کارکنان را تشویق کند در صورت امکان در FOSS مشارکت کنند.
2.  سطح آگاهی خود را در مورد FOSS که استفاده می‌کنند افزایش دهند و نسبت به آسیب‌پذیری‌های آن آگاه باشند.
3. پایداری نرم‌افزاری که استفاده می‌کنند را در نظر داشته باشند، و کارکنان خود را تشویق کنند تا بر روی دو حوزه فیچرهای مفید برای شرکت و همچنین امنیت و نگهداری عمومی تمرکز کنند.

اکثر مردم نمی‌دانند که بسیاری از فناوری‌هایی که ما هر روز از آن‌ها استفاده می کنیم  بر روی (FOSS) اجرا می‌شوند. تلفن‌ها، ماشین‌ها، هواپیماها و حتی بسیاری از برنامه‌های پیشرفته هوش مصنوعی از نرم‌افزارهای Open Source مانند سیستم‌عامل هسته لینوکس، سرورهای وب Apache و Nginx که بیش از ۶۰ درصد از وب‌سایت‌های جهان را اجرا می‌کنند و Kubernetes که امکان پردازش ابری را می‌دهد از مثال‌های این موضوع هستند.

پایداری، ثبات و امنیت این مجموعه  نرم‌افزاری از دغدغه‌های اصلی هر شرکتی است. اما بر خلاف نرم‌افزار سنتی متن بسته، که شرکت‌ها آن را به صورت داخلی می‌سازند و می‌فروشند، FOSS توسط گروهی از توسعه دهندگان به صورت داوطلبانه و بدون پرداخت دستمزد توسعه داده می‌شود و در بیشتر مواقع نیز رایگان است.

رفتار شرکت‌ها در قبال نرم‌افزارهای متن باز

در چند سال اخیر، ما شاهد افزایش نقش فعال شرکت‌ها در نرم‌افزارهای Open Source بوده‌ایم؛ به این صورت که کارمندانی را برای مشارکت در پروژه‌های Open Source موجود یا Open Source کردن کدهای شرکت اختصاص می‌دهند، تا هم به جامعه امکان استفاده از آنها را بدهند و هم از آن‌ها حمایت کنند.

هنگامی  که شرکت‌ها FOSS را بخشی از مدل کسب‌وکار خود کرده‌اند، تولیدکنندگان مهم FOSS را هم پیدا کرده‌اند. IBM  دو سال پیش، Red Hat که به عنوان یکی از موفق‌ترین شرکت‌ها که در حوزه FOSS شناخته می‌شد را به قیمت ۳۴ میلیارد دلار خرید. یک سال قبل از آن، غول‌های فناوری دیگر به ویژه مایکروسافت هم میلیاردها دلار برای به دست آوردن سهام در ابزارهای FOSS پرداخت کردند.  

ورود شرکت‌های بزرگ به جوامع آنلاین رایگان و Open Source باعث ایجاد نگرانی‌ها و اصطکاک‌های جدی شده است. مالکیت تولیدکنندگان FOSS می‌تواند منجر به ازدحام مشارکت‌کنندگان داوطلب شود، تا حدی که سلامت آینده اکوسیستم FOSS را تهدید کند.

علاوه بر این، بزرگ‌ترین ارائه‌دهندگان فضای ابری در جهان، کسب‌وکارهای چند میلیارد دلاری خود را بر روی اجزای FOSS ایجاد کرده‌اند که باعث می‌شود مشارکت‌کنندگان مطرح در FOSS تعجب کنند که چرا آن‌ها وقت آزاد خود را صرف ثروتمندتر کردن، ثروتمندان می‌کنند. چنین اقداماتی می‌توانند داوطلبان را از مشارکت باز داشته و اصول اخلاق و پایه‌ای جامعه FOSS را تهدید کنند.

یکی از موارد بحث برانگیز، درگیری اخیر بین الاستیک و آمازون است. الاستیک، یک شرکت سهامی عام است که مالک نرم‌افزار جستجوی ElasticSearch است. این ابزارفعالیت جستجو را بر روی وب سایت‌های شرکت‌های متعددی مانند والمارت و Audi انجام می‌دهد؛ پس از این که آمازون  نسخه‌ای از Elasticsearch را که Eltic به صورت Open Source منتشر کرده بود، دوباره بسته‌بندی کرده و به مشتریان خود  با نامی مشابه فروخت، با آن به جدال پرداخت.

پژوهشی در زمینه نرم افزارهای رایگان و متن باز

با پشتیبانی بنیاد لینوکس و پیوستن آن با بنیاد امنیت Open Source بین صنعتی، ما دو پژوهش تکمیلی را انجام داده‌ایم. یکی تمرکز بر انجام سرشماری استفاده از FOSS و دیگری درک انگیزه‌های دخیل در FOSS، به دنبال درک بهتر این نگرانی‌ها.

در مرحله اول ما با شرکت‌های نرم‌افزاری ترکیبی آنالیز و شرکت‌های نرم افزارهای امنیتی، از جمله Snyk و Synopsys همکاری کردیم تا با انجام سرشماری از این نرم‌افزارهای مهم، برای شناسایی پر استفاده‌ترین بسته‌های FOSS، بینش گسترده‌ای نسبت به استفاده از FOSS در اپلیکیشن‌های تولید به دست آوریم.

در مرحله دوم، یک نظرسنجی جهانی و در مقیاس بزرگ از جامعه توسعه‌دهندگان FOSS انجام دادیم، که پرسیده بودیم چرا توسعه‌دهندگان در پروژه‌های خاص FOSS مشارکت می‌کنند؟  چگونه سرمایه‌گذاری‌های مالی مهم شرکت‌ها را درک می‌کنند و از چه شیوه‌های امنیتی استفاده می‌کنند؟ 

در ادامه نتایج این نظرسنجی‌ها را با هم بررسی می‌کنیم.

نتایج تحقیقات

بزرگ‌ترین سوالی که در رابطه با افزایش مشارکت شرکت‌ها با FOSS مطرح می‌شود، این است که آیا این مساله تاثیر منفی بر سلامت آینده و رفاه اکوسیستم FOSS خواهد داشت؟ آیا توسعه‌دهندگانی که نرم‌افزاری را ایجاد می‌کنند که همه ما به آن وابسته هستیم، از مشارکت در سیستمی که به عنوان یک انجمن فعالیت می‌کنند، دست می‌کشند و به دنبال به دست آوردن سود بیشتر می‌روند؟ آیا شرکت‌ها به تنهایی بر روی FOSSهای سودآور تمرکز می‌کنند و دیگر بخش‌های حیاتی جامعه زیرساخت را نادیده می‌گیرند؟ آیا حفظ امنیت این نرم‌افزارها سخت‌تر خواهد بود؟ اگر بیشتر کار بر روی FOSS توسط شرکت‌های مجزا انجام شود، آیا توجه کمتری به باگ‌ها و آسیب‌پذیری‌های پنهان خواهد شد؟

اگر پاسخ هر یک از این سوالات مثبت باشد، نشان‌دهنده این است که آینده خوبی در انتظار نرم افزارهای Open Source نیست.

نتایج اولیه نظرسنجی ما دو روند مرتبط را نشان می‌دهد که می‌تواند FOSS را در برابر تهدیدهای امنیتی آسیب‌پذیرتر کند.

در ابتدا متوجه شدیم که بسیاری از بسته‌های FOSS که به طور گسترده در نرم‌افزارهای تجاری مورد استفاده قرار می‌گیرند، در اختیار توسعه‌دهندگان فردی (‏به جای جوامع گسترده‌) ‏قرار دارند که این مساله نه تنها مشکلات امنیتی، بلکه قابلیت اطمینان را نیز مطرح می‌کند.

یک فرد ممکن است شغل جدیدی پیدا کند، تصمیم به بازنشستگی بگیرد، دچار مشکلات سلامتی شود و یا به هر دلیلی توانایی حفظ و اجرای پروژه را نداشته باشد. همچنین، حساب‌های شخصی ممکن است امنیت کافی برای جلوگیری از حملات احتمالی و خطرناک هکرها نداشته باشند.

سپس، ما متوجه شدیم که بسیاری از شرکت‌ها از نسخه‌های قدیمی برنامه‌های متن باز استفاده می‌کنند  که این موضوع قابل پیش‌بینی و نگران‌کننده است. به‌روزرسانی نکردن به موقع نرم‌افزار، به این معنی است که آن دارای اشکالات شناخته‌شده و ضعف امنیتی است.

نتایج نظرسنجی همچنین نشان داد که انگیزه‌های مشارکت‌کنندگان ممکن است شرکت‌ها را ملزم به استفاده از مشوق‌های غیر سنتی کند. اگرچه مشارکت‌کنندگان به طور فزاینده‌ای توسط شرکت‌ها حمایت مالی می‌شوند، اما انگیزه اصلی این مشارکت‌کنندگان پول نیست.

این بدان معنی است که اهرم‌های سنتی شرکت‌ها برای تحریک رفتار ممکن است کار نکنند و انگیزه‌های ذاتی بیشتری از جمله اشتیاق به یادگیری، حس تعلق به جوامع FOSS و هویت حرفه‌ای برنامه‌نویسان ممکن است لازم باشد. 

بنابراین هر شرکت، سازمان یا دولتی که به دنبال ارتقای امنیت FOSS است، باید به جای پرداخت هزینه به مشارکت‌کنندگان برای کار روی امنیت، بر جذابیت این انگیزه‌های درونی تمرکز کند.

از طرف دیگر، شرکت‌ها می‌توانند به hired guns هزینه پرداخت کنند تا به طور خاص روی مسائل امنیتی کار کنند. نظرسنجی ما نشان می‌دهد که انتظار از مشارکت‌کنندگان برای رسیدگی داوطلبانه به مسائل امنیتی، بعید است که موفق شود.

چگونه شرکت‌ها می‌توانند کمک کنند؟

هیچکس و به ویژه ما، پیشنهاد نمی‌کند که باید به روزهای اولیه استفاده از FOSS برگردیم؛ زمانی که ابزارهای FOSS بیشتر یک تلاش داوطلبانه توسط افراد مشابه بود. اما به بازیگران بزرگ مانند شرکت‌ها و دولت‌ها، که به طور فزاینده‌ای هم به طور مستقیم و هم غیر مستقیم از FOSS حمایت می‌کنند، توصیه می‌کنیم تا تاثیر آن‌ها بر آینده اکوسیستم FOSS را درک کنند و از چند اصل راهنما پیروی کنند.

اول از همه، هدف شرکت‌ها و کشورها باید ایجاد تعادل مناسب باشد، یعنی باید بفهمند که FOSS بدون از بین بردن روح جامعه که دلیل اصلی ترغیب شدن افراد به مشارکت بوده، به پیشرفت خود ادامه می‌دهد. این بدان معناست که شرکت‌ها باید یک سیاست روشن نسبت به Open Source داشته باشند (ترجیحاً سیاستی که کارکنان را تشویق می‌کند در صورت امکان در FOSS مشارکت کنند). 

تحقیق ما نشان داد که بسیاری از کارکنان درک روشنی از سیاست‌های FOSS شرکت خود ندارند؛ این موضوع باعث می‌شود آن‌ها نسبت به استفاده و مشارکت آشکار در پروژه‌های FOSS مردد باشند. علاوه بر این، آنها می‌توانند در آینده فعالانه از این پروژه‌هاحمایت کنند تا از سلامت آن در آینده مطمئن شوند.

در مرحله دوم، شرکت‌هایی که از FOSS استفاده می‌کنند (‏که اساسا دانسته یا نادانسته شامل همه شرکت‌ها می‌شود)، ‏باید سطح آگاهی خود را در مورد FOSS مورد استفاده افزایش دهند.

دستور اجرایی اخیر ریاست‌جمهوری نیازمند یک software bill of materials (‏SBOM)‏ است که شامل هر محصول خریداری‌شده توسط دولت می‌شود. با این کار، دولت می‌فهمد که در محصول از چه FOSS و نرم‌افزار اختصاصی‌ای استفاده شده است. به این ترتیب دولت می‌تواند از آسیب‌پذیری‌های احتمالی ناشی از آن آگاه شود.

این یک مثال مهم است که همه شرکت‌ها باید آن را در نظر داشته باشند؛ انجام این کار به شرکت‌ها اجازه می‌دهد تا وابستگی خود به جامعه FOSS را بهتر درک کنند و شفافیت بیشتری به همراه دارد و همچنین به آن‌ها این امکان را می‌دهند که بدانند چه زمانی در معرض آسیب‌پذیری‌های جدید هستند.

در نهایت، از آنجایی که شرکت‌ها به مشارکت خود در حمایت از FOSS ادامه می‌دهند، ما به آنها پیشنهاد می‌کنیم که پایداری نرم‌افزاری را که استفاده می‌کنند در نظر داشته باشند، همان‌طور که کارکنان خود را  به مشارکت تشویق کنند، روی ویژگی‌هایی تمرکز کنند که به همان اندازه که برای شرکت مفید هستند، برای امنیت و نگهداشت عمومی نیز سودمند باشند. در نظر داشته باشید حضور این جامعه داوطلب در پشت این پروژه‌ها حیاتی است و باید از آنها محافظت شود.

به این ترتیب، آن‌ها نه تنها از ویژگی‌های جدیدی که اضافه می‌کنند منفعت کسب می‌کنند، بلکه بهبود آینده و صحت FOSS مورد اعتماد خود را نیز تضمین می‌کنند.

جمع‌بندی 

نرم‌افزار آزاد و Open Source، یک حلقه حیاتی مانند بزرگراه‌های بین‌ ایالتی، شبکه برق، یا شبکه ارتباطات، در اقتصاد است؛ با توجه به آنچه که ما در مورد این سیستم‌های زیرساخت حیاتی می‌دانیم، آیا منطقی نیست که در مورد معادل قرن بیست و یکم آن‌ها اطلاعات بیشتری داشته باشیم؟

با توجه به تعداد ذینفعان درگیر در اکوسیستم FOSS، حل همه مسائل برای هر بازیگر فعال در این حوزه بسیار سخت است. بنابراین، این احتمال وجود دارد که با همکاری مشترک که شامل شرکت‌ها، سازمان‌های دولتی و مشارکت‌کنندگان شخصی است، برای تضمین امنیت و حیات اکوسیستم FOSS در آینده ضروری باشد. با این حال، ابتدا باید دامنه مشکل را درک کرد. ما معتقدیم که تلاش‌های ما یکی از اولین گام‌ها در این مسیر است.

 این مقاله ترجمه مقاله‌ای از سایت hbr.org است.