تواجه شركات التكنولوجيا الكبرى زيادة في مخاطر سلسلة إمدادات البرمجيات، وفقًا لتقرير JFrog.

لقد أصبحت سلسلة إمداد البرمجيات قضية حيوية بالنسبة للمؤسسات التي تواجه مشهدًا رقميًا متزايد التعقيد. يشير تقرير JFrog الأخير إلى التحديات المتزايدة التي تواجهها المنظمات في تأمين نظمها البرمجية.

تقرير "حالة سلسلة إمداد البرمجيات 2024" الذي نُشر الأسبوع الماضي، يبرز أن سلاسل إمداد البرمجيات الحالية متنوعة وعالمية. تستخدم حوالي 53% من المنظمات ما بين أربع إلى تسع لغات برمجة، في حين تعتمد 31% منها على أكثر من عشر لغات.

هذا التعقيد أدى إلى زيادة كبيرة في الحزم والمكتبات مفتوحة المصدر لتطوير التطبيقات. وفقًا للتقرير، كانت حزم "Docker" و"npm" الأكثر مساهمة، مع ارتفاع مساهمات PyPI، على الأرجح بسبب زيادة الاستخدام في حالات الذكاء الاصطناعي والتعلم الآلي. ومع ذلك، فإن هذا الكم من الموارد قد يحمل مخاطر محتملة للمنظمات.

في عام 2023، أفاد الباحثون الأمنيون عن أكثر من 26,000 ثغرة جديدة (CVEs)، مما يُواصل الاتجاه المتزايد للثغرات. أوضح التقرير أن أبرز الثغرات هذا العام كانت تتعلق بعمليات استغلال عبر المواقع، وهجمات حقن SQL، وكتابة خارج الحدود، مع تزايد شيوع هجمات تزوير الطلبات عبر المواقع.

تقييمات CVSS المضللة تخفي المخاطر الحقيقية

أشار شاتشار ميناست، مدير أبحاث الأمن في JFrog، إلى الطبيعة المضللة لتقييمات نظام تسجيل الثغرات الشائعة (CVSS) فيما يتعلق بإمكانية الاستغلال الفعلية. "لا تأخذ تقييمات CVSS في الاعتبار سياقات الهجمات المحتملة. ونتيجة لذلك، تتلقى ثغرات القابلة للاسستغلال افتراضيًا نفس الدرجة التي تتلقاها ثغرة يمكن استغلالها تحت ظروف نادرة فقط"، أوضح ميناست. يكشف التقرير أن 74% من الثغرات الحرجة والعالية ضمن قائمة أفضل 100 صورة على DockerHub ليست قابلة للاستخدام، مما يبرز الحاجة لتقييم أعمق للمخاطر بناءً على السياق والتكوين الخاص بكل منظمة.

المخاطر المخفية في سلاسل إمداد البرمجيات

حدد التقرير الأخطاء البشرية والأسرار المعرضة للكشف كمخاطر كبيرة ضمن سلاسل إمداد البرمجيات. وأكد ميناست على مزايا المسح على المستوى الثنائي، مشيرًا إلى أن "المسح والتحقق مما سيجري تشغيله في الإنتاج يمكن أن يكشف عن التعرضات التي تظهر فقط بعد تجميع الكود." غالبًا ما يتم تجاوز قضايا مثل تسريب الأسرار في الكود المصدري لكنها تبرز في الصورة النهائية بسبب خطوط أنابيب CI/CD.

أساليب الأمن المتفرقة تستنزف الموارد

على الرغم من تزايد الوعي، تواجه المنظمات غالبًا بروتوكولات أمنية مجزأة تهدر الوقت والموارد. كشف التقرير أن 60% من المتخصصين يقضون أربعة أيام أو أكثر في شهرهم لإصلاح ثغرات التطبيق.

يوصى ميناست بإعطاء الأولوية للثغرات من خلال الاستثمار في حلول أمنية تسهم في تخصيص نتائج المسح، مشيرًا إلى أن "مجرد الإبلاغ عن CVEs ليس كافيًا. المسح السياقي، سواء كان ثابتًا أو ديناميكيًا، هو أمر أساسي. إن تجاهل السياق يؤدي إلى نحو 75% من الإيجابيات الكاذبة."

يتناول التقرير أيضًا التحديات التي تطرحها وفرة أدوات الأمن. أشار ميناست إلى أن زيادة حلول النقاط يمكن أن تخلق فجوات في التغطية وتؤدي إلى إرهاق التنبيه، مما يعيق تدفقات تطوير البرمجيات.

الذكاء الاصطناعي والتعلم الآلي يقدمون مخاطر جديدة

يقدم صعود الذكاء الاصطناعي (AI) والتعلم الآلي (ML) في تطوير البرمجيات مخاطر خاصة بهما. بينما تقوم 94% من المنظمات بمراجعة أمان نماذج التعلم الآلي مفتوحة المصدر، فإن حوالي 20% تبتعد عن استخدام AI/ML في إنشاء الكود بسبب المخاوف الأمنية.

يتوقع ميناست زيادة استخدام AI في كتابة الكود لكنه يحذر من المخاطر الأمنية المرتبطة. "بينما يمكن أن تعزز GenAI بشكل كبير من إنتاجية المطورين، من الضروري أن يدرك المطورون أن مثل هذه الممارسات قد تهدد الأمان والامتثال، حيث غالبًا ما تفشل GenAI في إنتاج كود آمن."

كما ينبه المسؤولين عن الأمان من إمكانية استغلال المهاجمين لنزعة AI في اختراع مكتبات غير موجودة، مما يتيح إنشاء حزم ضارة قد يستخدمها المطورون عن غير قصد.

توصيات رئيسية لتأمين سلاسل إمداد البرمجيات

بينما تتنقل المنظمات في مشهد سلسلة إمداد البرمجيات المتطور، يُعتبر تقرير JFrog تذكيرًا حاسمًا بضرورة إعطاء الأولوية للأمان واعتماد نهج شامل لإدارة المخاطر.

يوفر ميناست توصيات رئيسية لقادة تكنولوجيا المعلومات:

1. تقييد التنزيلات المباشرة لحزم البرمجيات مفتوحة المصدر من الإنترنت، واستخدام حل لإدارة العناصر لمراجعة وتأمين العناصر قبل وصولها إلى بيئة المطور.

2. إدارة جميع المدخلات والمخرجات المتعلقة بإصدارات البرمجيات ضمن نظام موحد يتضمن أمن التطبيق من البداية إلى النهاية لضمان تطبيق السياسات بشكل متسق عبر الفرق.

3. تنفيذ تدابير مضادة للتلاعب مثل توقيع الكود للحفاظ على سلامة الإصدارات، وضمان تضمين المكونات الآمنة فقط مع تقدم البرمجيات.

من خلال اعتماد المسح السياقي، وتوحيد الجهود الأمنية، ومعالجة المخاطر المتعلقة بالكود الذي يتم إنشاؤه بواسطة AI، يمكن للمؤسسات تعزيز سلاسل إمداد البرمجيات الخاصة بها وحماية نفسها من التهديدات المخفية. يسلط تقرير JFrog الضوء على ضرورة اتخاذ نهج يقظ وشامل لأمان سلسلة إمداد البرمجيات في ظل اتساع مساحة الهجوم.