የክፍት ምንጭ ሶፍትዌሮችን ደህንነት ለማሻሻል በሊኑክስ ፋውንዴሽን ስር የተፈጠረው OpenSSF (ኦፕን ሶርስ ሴኪዩሪቲ ፋውንዴሽን)፣ ታዋቂውን የክፍት ምንጭ ፕሮጄክቶችን ለመቆጣጠር ከሚደረገው ሙከራ ጋር በተያያዘ የሚደረጉ እንቅስቃሴዎችን የመለየት ስራ በአሰራሩ እንደሚያስታውስ አስጠንቅቋል። በፕሮጀክቱ xz ውስጥ የጀርባ በርን ለመትከል በማዘጋጀት ሂደት ውስጥ የአጥቂዎች ድርጊቶች. በ xz ላይ ከደረሰው ጥቃት ጋር በሚመሳሰል መልኩ ከዚህ ቀደም በልማቱ ውስጥ ጥልቅ ተሳትፎ ያልነበራቸው አጠራጣሪ ግለሰቦች ግባቸውን ለማሳካት የማህበራዊ ምህንድስና ዘዴዎችን ለመጠቀም ሞክረዋል።
አጥቂዎቹ እንደ Node.js፣ jQuery፣ Appium፣ Dojo፣ PEP፣ Mocha እና webpack ላሉ ክፍት ጃቫ ስክሪፕት ፕሮጀክቶች እንደ ገለልተኛ መድረክ ከሚሆነው ከOpenJS Foundation የአስተዳደር ምክር ቤት አባላት ጋር ደብዳቤ ፃፉ። አጠራጣሪ የክፍት ምንጭ ልማት ታሪክ ያላቸው በርካታ የሶስተኛ ወገን ገንቢዎችን ያካተተው የደብዳቤ ልውውጥ በOpenJS ድርጅት ከተዘጋጁት ታዋቂ የጃቫ ስክሪፕት ፕሮጄክቶች ውስጥ አንዱን ማዘመን አስፈላጊ መሆኑን ለማሳመን ሞክሯል።
የዝማኔው ምክንያት "ከማንኛውም ወሳኝ ተጋላጭነት ጥበቃ" መጨመር አስፈላጊ እንደሆነ ተገልጿል. ነገር ግን ስለ ተጋላጭነቶች ምንነት ምንም ዝርዝር አልቀረበም። ለውጦቹን ተግባራዊ ለማድረግ, አጠራጣሪ ገንቢው ቀደም ሲል ትንሽ ክፍል ብቻ የወሰደው በልማት ውስጥ ከፕሮጀክቱ ጠባቂዎች መካከል እንዲካተት አቅርቧል. በተጨማሪም፣ ኮዳቸውን ለመጫን ተመሳሳይ አጠራጣሪ ሁኔታዎች ከOpenJS ድርጅት ጋር ግንኙነት በሌላቸው ሁለት ታዋቂ የጃቫ ስክሪፕት ፕሮጀክቶች ተለይተዋል። ጉዳዮች ያልተገለሉ እና የክፍት ምንጭ ፕሮጀክቶች ጠባቂዎች ኮድ ሲቀበሉ እና አዲስ ገንቢዎችን ሲያጸድቁ ንቁ መሆን አለባቸው ተብሎ ይታሰባል።
ተንኮል-አዘል ድርጊቶችን ሊያመለክቱ የሚችሉ ምልክቶች በደንብ የታሰበ ነገር ግን ጠበኛ እና ቀጣይነት ያላቸው ጥቂት የማይታወቁ የማህበረሰብ አባላት ጥረቶች ተቆጣጣሪዎችን ወይም የፕሮጀክት አስተዳዳሪዎችን ኮዳቸውን የማስተዋወቅ ወይም የባለአደራነት ደረጃን የመስጠት ሀሳብ አላቸው። ከዚህ ቀደም በልማቱ ላይ ያልተሳተፉ ወይም በቅርቡ ወደ ህብረተሰቡ ከተቀላቀሉ ሃሰተኛ ግለሰቦች የተደራጁ ሀሳቦች ዙሪያ የድጋፍ ቡድን መፈጠሩ ትኩረት ሊሰጠው ይገባል።
ለውጦችን በሚቀበሉበት ጊዜ፣ ሁለትዮሽ መረጃዎችን በውህደት ጥያቄዎች ውስጥ ለማካተት ተንኮል-አዘል ሊሆኑ የሚችሉ ሙከራዎችን ምልክቶች (ለምሳሌ፣ በ xz ውስጥ፣ ማሸጊያውን ለመፈተሽ የኋላ በር በማህደር ውስጥ ገብቷል) ወይም ግራ የሚያጋባ ወይም ለመረዳት የሚያስቸግር ኮድ እንደሆነ ግምት ውስጥ ማስገባት አለብዎት። ለማህበረሰቡ ምላሽ ለመለካት እና ለውጦቹን የሚከታተሉ ሰዎች መኖራቸውን ለማየት (ለምሳሌ xz የSafe_fprintf ተግባርን በfprintf ተክቷል) ለጥቃቅን ደህንነትን የሚጎዱ ለውጦች ለሙከራ ሙከራዎች ግምት ውስጥ መግባት አለባቸው። የፕሮጀክቱን የማጠናቀር፣ የመሰብሰብ እና የማሰማራት ዘዴዎች፣ የሶስተኛ ወገን ቅርሶች አጠቃቀም እና ለውጦችን በአስቸኳይ የመውሰድ አስፈላጊነት ስሜትን በማባባስ ጥርጣሬዎች ሊፈጠሩ አይችሉም።
ምንጭ: opennet.ru