ما هي البرامج مفتوحة المصدر وهل هي أمنة
ما هي البرامج مفتوحة المصدر وهل هي أمنة؟ يمكن لتطبيقات البرامج المطورة من قبل المجتمع خفض التكاليف وزيادة الإنتاجية في أي عمل تجاري. ومع ذلك ، هل البرمجيات مفتوحة المصدر آمنة؟
قبل بضع سنوات ، عندما حدث خرق كبير لبيانات مكتب الائتمان Equifax ، كان هناك الكثير من النقاش حول التعليمات البرمجية مفتوحة المصدر ومدى أمانها. تقدم سريعًا إلى يومنا هذا ، ومن المسلم به على نطاق واسع أن التعليمات البرمجية مفتوحة المصدر توفر فوائد كبيرة للعملاء والشركات على حدٍ سواء.
يؤدي استخدام البرامج المطورة من المجتمع إلى تسريع أوقات التطوير وتقليل تكاليف البرامج التجارية عن طريق إزالة الحاجة إلى إنشاء تطبيقات كاملة من البداية. ولكن مع تزايد شعبية المصادر المفتوحة ، يبقى السؤال الرئيسي: هل البرمجيات مفتوحة المصدر آمنة؟
لمساعدتك على فهم المصدر المفتوح بشكل أفضل ، كتب الفريق في ESET دليلاً حول مخاطر أمان البرامج مفتوحة المصدر ونصائح حول أفضل الممارسات.
ما هي البرمجيات مفتوحة المصدر؟
البرمجيات مفتوحة المصدر هي البرامج التي تكون شفرة المصدر الخاصة بها – الكود الذي يستخدمه مبرمجو الكمبيوتر لإنشاء تطبيقات البرامج – متاحة مجانًا (عادةً على الإنترنت) ، مما يعني أنه يمكن لأي شخص فحصها وتعديلها وتحسينها.
تميل البرامج مفتوحة المصدر إلى أن تندرج تحت مجموعة متنوعة من شروط الترخيص (تم احتساب أكثر من 1400 ترخيص مختلف مفتوح المصدر) ، ولكن هذه بشكل عام تشترك في شيئين: يمكن استخدام البرنامج دون دفع رسوم الترخيص ، ويمكن لأي شخص تعديل أو تحسين البرنامج عن طريق إضافة ميزات إليه أو عن طريق إصلاح التعليمات البرمجية التي لا تعمل بشكل صحيح. ومع ذلك ، فإن البرامج مفتوحة المصدر ليست دائمًا مجانية – يمكن للمبرمجين تحصيل أموال مقابل البرامج مفتوحة المصدر التي ينشئونها ، أو لمساعدة الآخرين في تثبيت البرنامج أو استخدامه أو استكشاف أخطاءه وإصلاحها.
المثال الأكثر شهرة هو GNU / Linux ، ولكن هناك الآلاف من منتجات البرامج مفتوحة المصدر الأخرى التي تم إنشاؤها لمجموعة لا حصر لها من الوظائف والاحتياجات. إذا لم تكن مطورًا ، فمن المحتمل أن تفاجأ بمدى اعتماد برامج شركتك على المكونات التي يقودها المجتمع.
المصدر المفتوح مقابل البرمجيات الاحتكارية
في حين أن البرامج مفتوحة المصدر يمكن الوصول إليها بشكل عام ، إلا أن البرامج المملوكة أو “المغلقة المصدر” لها كود مصدر خاص شديد الحراسة وعادة ما تكون برامج تجارية. بشكل عام ، لا يمكن الوصول إلى الكود المصدري للبرامج الاحتكارية إلا من قِبل الشخص أو موظفي الشركة التي أنشأتها.
لاستخدام برنامج احتكاري ، يجب أن تدخل في اتفاقية – غالبًا عن طريق توقيع ترخيص ، أو بقبول اتفاقية ترخيص المستخدم النهائي (EULA) المعروضة أثناء التثبيت أو قبل الاستخدام الأول للبرنامج. تضع اتفاقيات ترخيص المستخدم النهائي بشكل عام قيودًا واسعة النطاق على ما يمكن للمستخدم فعله بالبرنامج ، بما في ذلك حظر الهندسة العكسية أو تعديل التعليمات البرمجية. يعد Microsoft Windows و macOS و Adobe Flash Player و Photoshop و Microsoft Office أمثلة على البرامج الاحتكارية الشائعة.
يعتبر بعض الأشخاص البرمجيات مفتوحة المصدر أكثر أمانًا من البرمجيات الاحتكارية ، وذلك لعدد من الأسباب (بما في ذلك أسطورة “العيون المتعددة”). بالإضافة إلى توفير مزايا التكلفة والمرونة والسرعة ، فإن المشاريع التي ينتجها المجتمع تكون بشكل عام أكثر شفافية بشأن نقاط الضعف من مطوري البرامج الاحتكارية. قد لا يعني وجود عدد أكبر من الأشخاص الذين يعملون في مشروع مفتوح المصدر فرصة أفضل للعثور على نقاط الضعف أو الأخطاء وإصلاحها بشكل استباقي ، ولكن يجب أن يتم تصحيح الأخطاء المكتشفة بسرعة أكبر.
يمكنك أيضًا مراجعة الكود بنفسك ، ثم إما الاستمرار في الإصدار الحالي ، أو تحرير الإصدار الخاص بك ، أو حتى تعطيل أي وظائف تعتقد أنها قد تكون غير آمنة. مع البرامج المغلقة المصدر ، عليك ببساطة أن تثق في أن المطور يعرف ما يفعله وأنك في يد المطور تمامًا فيما يتعلق بتوقيت التحديثات الخاصة بالثغرات الأمنية.
البرامج مفتوحة المصدر وخصوصية البيانات
ومع ذلك ، لا يزال هناك عدد من المخاوف الأمنية عندما يتعلق الأمر بالبرمجيات مفتوحة المصدر. قد تجعل دورات الإصدار القصيرة لبعض المشاريع غير المسجلة الملكية من الصعب التحقق من أمان كل منتج جديد والحفاظ عليه – بالإضافة إلى أنه ليس كل المطورين خبراء في مجال الأمن.
على سبيل المثال ، OpenSSL عبارة عن مكتبة تشفير تُستخدم للتعامل مع وظيفة أمنية بالغة الأهمية من خلال قدر كبير من البرامج المتصلة بالإنترنت ، بما في ذلك تلك التي تشغل بعضًا من خدمات الويب والبريد الإلكتروني والرسائل الأكثر شيوعًا. نظرًا لأنه برنامج مفتوح المصدر ، فمن المفترض أن رمزه قد تم فحصه بعناية فائقة ، في كثير من الأحيان ، ومن قبل العديد من الخبراء. هذا لم يمنعها من الشحن لمدة عامين تقريبًا مع وجود ثغرة أمنية خطيرة تتعلق بتسرب الذاكرة والتي تم تسميتها Heartbleed.
وبالمثل ، في عام 2014 ، وُجد أن Bash shell الشهير – معالج الأوامر الافتراضي في العديد من توزيعات Linux – يعاني من ثغرة أمنية عشوائية في تنفيذ الأوامر يمكن استغلالها عن بُعد من خلال نصوص CGI من جانب الخادم على خوادم الويب ، والعديد من الآليات الأخرى الغامضة. أظهر تحليل ما بعد الوفاة ، المسماة Shellshock ، أن أساس هذه الثغرة الأمنية كان الوظيفة المضافة إلى Bash قبل حوالي 25 عامًا.
الحقيقة هي أن أي رمز ، سواء أكان مصدرًا مغلقًا أم مفتوح المصدر ، سيكون به على الأرجح بعض الثغرات الأمنية. قد يكون هذا بسبب جميع أنواع الأسباب ، من التنفيذ الصحيح للتصميم المعيب إلى الأبواب الخلفية المزروعة عن عمد أو نقاط الضعف الأخرى. علاوة على ذلك ، حتى التطبيقات المناسبة لتصميمات الأمان الجيدة قد تكون معيبة في نشرها بسبب أشياء مثل التكوين غير الصحيح ، والفشل في اتباع إرشادات الأمان ، واستخدام كلمات مرور ضعيفة ، وما إلى ذلك.
في النهاية ، يعود الأمر إلى مطور البرامج مفتوحة المصدر لجعل شفرته آمنة ، ولكن إذا كنت تستخدم هذا البرنامج ، فيمكنك اتخاذ خطوات إضافية لحماية نفسك.
كيفية التعرف على البرامج الآمنة مفتوحة المصدر
للتحقيق في مدى ملاءمة أحد الحلول البرمجية ، يلزمك تقييم أمان وسمعة كل برنامج تريد استخدامه. مكان ممتاز للبدء هو مراجعة محفوظات الإصدار وإلقاء نظرة على مشكلات الأمان السابقة بحثًا عن العلامات الحمراء.
خاصة بالنسبة للبرامج التي تقدم خدمات التشفير ، تحقق مما إذا كانت هناك عمليات تدقيق مستقلة لتصميم المنتج وتنفيذه. يعد الأمان ، وخاصة التشفير ، أمرًا صعبًا ، لذا فإن الحصول على مراجعات مستقلة من قبل خبراء بحسن نية في المجالات ذات الصلة مهم بشكل خاص للتعليمات البرمجية الحساسة للأمان. حتى الكلام الشفهي من زميل موثوق به يمكن أن يمنحك فكرة جيدة عما يمكن الاعتماد عليه. بالإضافة إلى ذلك ، تعرف على البرامج التي يستخدمها شركاؤك ومنافسيك والمؤسسات القائمة في مجالك.
قد يكون الخيار الأفضل بالنسبة لك هو البرمجيات الاحتكارية أو حتى مزيج من الأدوات المغلقة والمفتوحة المصدر. الشيء المهم هو أن تتخذ قرارك بناءً على بحث شامل.
كيفية تأمين بياناتك عند تنزيل برنامج مفتوح المصدر
مفتاح الحفاظ على أمان بياناتك هو المراقبة المستمرة للتهديدات الجديدة. هل تستخدم نسخة حالية من مشروع مفتوح المصدر؟ هل هو الإصدار الأكثر أمانًا؟ هل يقوم مجتمع خبير وجدير بالثقة بصيانة المدونة بشكل نشط؟
من الضروري أن تظل على اطلاع دائم – إما عن طريق التحقق من عدم الأمان الذي تم العثور عليه وتسجيل الدخول إليه من المصادر عبر الإنترنت ، أو من خلال أدوات الأمان الآلية. عادةً ما تكون الأتمتة هي الخيار الأفضل لمعظم الشركات ، لأن التحقق يدويًا من استخدامك مفتوح المصدر سيتطلب استثمارات كبيرة من الوقت والموارد والميزانية.
سواء قررت استخدام برامج مملوكة أو مفتوحة المصدر أو مزيجًا من الاثنين ، فمن الضروري الحفاظ على وضع أمني قوي يراقب حالات عدم الأمان ويحمي من محاولات خرق البيانات.
لماذا يفضل الناس استخدام البرامج مفتوحة المصدر؟
يفضل الأشخاص البرامج مفتوحة المصدر على البرامج الاحتكارية لعدد من الأسباب ، بما في ذلك:
التحكم. يفضل العديد من الأشخاص البرامج مفتوحة المصدر لأن لديهم سيطرة أكبر على هذا النوع من البرامج. يمكنهم فحص الكود للتأكد من أنه لا يفعل أي شيء لا يريدون منه القيام به ، ويمكنهم تغيير أجزاء منه لا يحبونها. يستفيد المستخدمون الذين ليسوا مبرمجين أيضًا من البرامج مفتوحة المصدر ، لأنه يمكنهم استخدام هذا البرنامج لأي غرض يرغبون فيه – وليس فقط بالطريقة التي يعتقد شخص آخر أنها يجب أن تفعلها.
التمرين. يحب الآخرون البرامج مفتوحة المصدر لأنها تساعدهم على أن يصبحوا مبرمجين أفضل. نظرًا لأن التعليمات البرمجية مفتوحة المصدر متاحة للجمهور ، يمكن للطلاب دراستها بسهولة أثناء تعلمهم كيفية صنع برامج أفضل. يمكن للطلاب أيضًا مشاركة عملهم مع الآخرين ، ودعوة التعليقات والنقد ، أثناء تطويرهم لمهاراتهم. عندما يكتشف الأشخاص أخطاء في التعليمات البرمجية المصدر للبرامج ، يمكنهم مشاركة هذه الأخطاء مع الآخرين لمساعدتهم على تجنب ارتكاب نفس الأخطاء بأنفسهم.
الحماية. يفضل بعض الأشخاص البرامج مفتوحة المصدر لأنهم يعتبرونها أكثر أمانًا واستقرارًا من البرامج الاحتكارية. نظرًا لأنه يمكن لأي شخص عرض وتعديل البرامج مفتوحة المصدر ، فقد يكتشف شخص ما الأخطاء أو الإغفالات التي ربما فاتها المؤلفون الأصليون للبرنامج ويصححها. ونظرًا لأن العديد من المبرمجين يمكنهم العمل على جزء من برنامج مفتوح المصدر دون طلب إذن من المؤلفين الأصليين ، فيمكنهم إصلاح البرامج مفتوحة المصدر وتحديثها وترقيتها بسرعة أكبر مما يمكنهم من البرامج الاحتكارية.
استقرار. يفضل العديد من المستخدمين البرامج مفتوحة المصدر على البرامج الاحتكارية للمشاريع المهمة طويلة الأجل. نظرًا لأن المبرمجين يوزعون شفرة المصدر علنًا لبرامج مفتوحة المصدر ، يمكن للمستخدمين الذين يعتمدون على هذا البرنامج في المهام الحرجة التأكد من أن أدواتهم لن تختفي أو تتعطل إذا توقف منشئوها الأصليون عن العمل عليها. بالإضافة إلى ذلك ، تميل البرامج مفتوحة المصدر إلى الدمج والعمل وفقًا للمعايير المفتوحة.
تواصل اجتماعي. غالبًا ما تلهم البرامج مفتوحة المصدر مجتمع المستخدمين والمطورين للتكوين حولها. هذا ليس فريدًا بالنسبة إلى المصادر المفتوحة ؛ العديد من التطبيقات الشائعة هي موضوع اللقاءات ومجموعات المستخدمين. ولكن في حالة المصادر المفتوحة ، فإن المجتمع ليس مجرد قاعدة جماهيرية تشتري (عاطفياً أو مالياً) لمجموعة مستخدمين من النخبة ؛ هم الأشخاص الذين ينتجون ويختبرون ويستخدمون ويروجون ويؤثرون في النهاية على البرامج التي يحبونها.
المُلخص
تعد التعليمات البرمجية مفتوحة المصدر مجرد جزء آخر من سلسلة التوريد الخاصة بك ، والهجوم الذي يستفيد من نقاط الضعف في مكتبة أو حزمة أو تطبيق مفتوح المصدر هو مجرد نوع آخر من هجمات سلسلة التوريد. لذلك ، بغض النظر عن التبعيات التي لديك ، سواء كانت مفتوحة المصدر أو مملوكة ، فأنت بحاجة إلى التعامل مع جميع التعليمات البرمجية الموجودة على شبكتك بنفس الشك ومراقبة ليس فقط من أين أتت ولكن أيضًا ما تفعله. يمكن أن يساعد حل EPP و EDR مثل SentinelOne في حماية مؤسستك من المشكلات الناشئة عن التعليمات البرمجية السيئة ، بغض النظر عن مصدرها.
أرجو أن نكون قد وفقنا بهذا العمل و اتمنى ان تكونوا قد استفدتم منه.
مع تحيات فريق عمل تريند بى سى | Trend PC
يمكنك التعرف ايضاً علي ما هو الديب ويب الذي يحذر منه الجميع؟
تابعونا علي فيس بوك Trend PC