על הקשר בין קוד פתוח לאיומי סייבר

צביקה רונן

צביקה רונן

מנהל טכנולוגיות ושותף מייסד

על הקשר בין קוד פתוח לאיומי סייבר

צביקה רונן

צביקה רונן

מנהל טכנולוגיות ושותף מייסד

קוד פתוח כבר מזמן הפך לשם נרדף לאבני בניין בעולמות הטכנולוגיה המודרנית. אין שום תחום המערב תוכנה וטכנולוגיה שלא נעשה בו שימוש ברכיב קוד פתוח כזה או אחר, זאת יכולה להיות המכונית שלכם, מכשיר רפואי, טלפון סלולרי או מסך הטלוויזיה, בטח ובטח בכל תוכנה מסחרית שנכתבה בעשור האחרון.

השימוש בתוכנות קוד פתוח הפך כה נפוץ עד שכיום כל תוכנה מסחרית מכילה בממוצע מעל ל70% קוד פתוח.

ישנן ספריות קוד פתוח שמספר ההורדות השבועי שלהן הוא עשרות מיליוני פעמים.

אז מי בעצם אחראי לרמת האבטחה של אותו רכיב קוד פתוח?  אין הרי חברת קוד פתוח בע"מ שאפשר לפנות אליה בתלונות.

התשובה היא – אתה! אתה שבחרת בין אם במודע או שלא במודע (כתלות או תוכנת צד ג') באחריותך לנהל את רשימת ספריות הקוד הפתוח בחברתך ומולן להתעדכן בחולשות האבטחה הידועות ולפעול להקטנת הסיכון.

הפופולריות של הקוד הפתוח ממש "הכפילה" את עצמה בשנים האחרונות אולם המודעות לסיכוני השימוש לא הגיעה יחד עם האימוץ בחום של השיטה.

גם חולשות האבטחה הידועות בקוד פתוח הכפילו את עצמן בשנת 2019 ושוב בשנת 2020.

אותן חולשות ידועות, שלכאורה אמורות להזהיר אותנו המשתמשים באותן ספריות, מפורסמות באופן גלוי באתרים רבים , בניהם באתר ה NVD   (אתר הפגיעויות הלאומי של הממשל האמריקני). האקרים שיודעים לקשר בין חולשה שפורסמה לגבי רכיב קוד פתוח וחברה שמשתמשת באותו רכיב יכולים למעשה "לנצל" את אותה חולשה כדי לפגוע בחברה.

כאן המקום לציין את הפרקטיקה הייחודית לניהול סיכוני קוד פתוח.

קוד פתוח מגיע אל הארגון שלנו בדרכים רבות, בין אם באימוץ ישיר של תוכנת קוד פתוח או ברכישת תוכנת צד ג'.

99% מהתוכנות בנויות בעצמן מרכיבי קוד פתוח שונים. אף אחד כמעט לא כותב היום את התוכנה שלו מאפס.

לכן, חייבים לנהל את שרשרת האספקה בהיבטי קוד פתוח, ועל ידי כך להבין אילו חולשות ידועות חושפות את הארגון שלנו לסיכוני סייבר.

ישנם תקני ISO  כמו 27001 וסדרת ההרחבות של התקן העוסקים במגוון רחב של סיכוני סייבר. אבל התקנים האלה נכתבו בשנת 2013 כשאחוז השימוש בקוד פתוח היה נמוך מאוד ולכן אין בהם התייחסות מפורשת לסיכוני אבטחה בקוד פתוח.

גם מסמך הבקרות של רשות הסייבר בגרסתו הקודמת לא כלל התייחסות מפורשת לחולשות ידועות בקוד פתוח וכיום הוא מקדיש קטע מפורש לטובת העניין.

אומרים שחוזק השרשרת הוא כחוזק החולייה החלשה שלה – זה אומר שאם לא מנהלים בכלל את החולשות הידועות בקוד פתוח הרי לכם חוליה חלשה ומסוכנת מאין כמוה.

כמה מסוכנת?

על פי נתונים שנאספו בארבעת השנים האחרונות ופורסמו,כ21% מהחברות הגלובליות חוו אירוע סייבר שמקורו בשימוש בקוד פתוח, ובל נשכח שלאותן חברות כבר יש מערך אבטחה מסודר. אז אם מישהו חושב שאפשר לנהל את סיכוני הסייבר בארגון מבלי להתייחס מפורשות לחולשות ברכיבי הקוד הפתוח בחברתו – עליו להכיר טוב יותר את הסיכונים.

Share on facebook
Share on twitter
Share on linkedin
Share on telegram

שתף את הבלוג

שתף את הבלוג

Share on facebook
Share on twitter
Share on linkedin
Share on telegram

קבע פגישה עוד היום!

קבע פגישה עוד היום!

דילוג לתוכן