- تماس با ما
- ۰۲۱۸۸۸۰۴۹۶۱
- ۰۲۱۹۱۳۰۰۴۷۶
- info@arka.ir
امنیت نرمافزارهای متنباز : مزیت زبیکس
چگونه بفهمید که کامپیوتر شما هک شده است؟
10/08/2024
ویژگیهای جدید ایمیل سرور Mdaemon
18/08/2024
زبیکس، از روز اول به حرکت متنباز اهمیت دادهاست و بر جنبههای باز بودن، شفافیت و همکاری آن تأکید کرده. به همین دلیل، مشتریان و شرکای بالقوه اغلب سوالاتی درباره امنیت محصول ما دارند. نگرانی این است که نرمافزارهای متنباز به نحوی از نرمافزارهای اختصاصی کمتر امن باشند.
در این نوشته، مقداری اطلاعات درباره نحوه عملکرد نرمافزارهای متنباز ارائه خواهیم داد، توضیح خواهیم داد که چرا نگرانیها درباره امنیت نرمافزارهای متنباز عمدتاً بیپایه است و مرور کلی از نحوه کار تیم زبیکس برای اطمینان از اینکه محصول ما به حداکثر امنیت ممکن دست یابد، ارائه خواهیم کرد.
مقدمهای کوتاه درباره نرمافزارهای متنباز
به طور ابتدایی، نرمافزار متنباز کدی است که برای هر کسی در دسترس است تا آن را تغییر دهد و در اشکال اصلی یا تغییر یافته به اشتراک بگذارد. این امکان را به توسعهدهندگان میدهد که بدون محدودیتهای یک مجوز اختصاصی، کار خود را به اشتراک بگذارند. حرکت متنباز بر اساس توسعه همکارانه استوار است و با استفاده از خلاقیت و اشتیاق جامعه جهانی توسعهدهندگان، به ایجاد نرمافزارهای با کیفیت بالا تشویق میکند.
خود زبیکس یک راهحل متنباز است که تحت مجوز عمومی GNU Affero نسخه 3 (AGPLv3) قرار دارد. کد منبع زبیکس به راحتی در دسترس است و میتواند دوباره توزیع یا تغییر داده شود – هر کسی با ایده عالی میتواند نسخه خود را از زبیکس ایجاد کند. علاوه بر زبیکس، بسیاری از راهحلهای نرمافزاری معروف و به طور گستردهای استفاده شده از حرکت متنباز به وجود آمدهاند، از جمله مرورگر فایرفاکس موزیلا، سیستم مدیریت محتوای وردپرس، پلیر رسانه VLC و سیستمعامل لینوکس.
نرمافزارهای متنباز و امنیت
امنیت دادهها موضوعی است که تمام شرکتها (و به تبع آن، هر شریک یا مشتری بالقوه) را درگیر میکند. توسعهدهندگان به طور مداوم در جستجوی راهحلهایی هستند که از بهترین شیوههای امنیت دادهها و برنامههای کاربردی پیروی کنند تا ریسک را کاهش داده و امنترین تجربه ممکن را برای کاربران فراهم آورند.
بحث مشترک میان کاربران و توسعهدهندگان این است که آیا نرمافزارهای متنباز به اندازه کافی امن هستند در مقایسه با گزینههای بسته (اختصاصی). خبر خوب این است که تلاشهای گستردهای در حال انجام است تا اطمینان حاصل شود که جامعه متنباز تا حد ممکن امن است.
پروژه Community Health Analytics Open Source Software (CHAOSS) از بنیاد لینوکس بر روی ایجاد مجموعهای استاندارد از معیارها و نرمافزارها متمرکز است تا به تعریف سلامت جامعه متنباز کمک کند و ابزار GrimoireLab آن به ویژه تحلیل و گزارش معیارهای سلامت جامعه را برای پروژههای متنباز بسیار آسانتر میکند.
نظرات در مورد اینکه چه چیزی باعث ایجاد محیطی واقعاً امن میشود متفاوت است، اما به احتمال زیاد بزرگترین مزیت امنیتی نرمافزارهای متنباز شفافیت آنهاست.
اگر چیزی را دیدید، بگویید
کدهای متنباز برای هر کسی قابل مشاهده، تغییر و توزیع است. ممکن است فکر کنید: “اگر کسی بتواند کل کد را ببیند، آیا نمیتواند از یک آسیبپذیری بهرهبرداری کند؟” پاسخ این است که شخصی ممکن است واقعاً از یک آسیبپذیری بهرهبرداری کند، اما از آنجایی که همه میتوانند کد را مشاهده کنند، احتمالاً فرد دیگری نیز آسیبپذیری مذکور را شناسایی کرده و اقدام به اصلاح آن خواهد کرد.
با کدهای متنباز، معمولاً بسیار آسانتر است که با توسعهدهندگان تماس بگیرید و مستقیماً مشکلات را به آنها گزارش دهید تا با پروژههای بسته (اختصاصی). این به معنای حل سریعتر بیشتر مسائل امنیتی است. علاوه بر این، از آنجایی که عموم مردم معمولاً اجازه دارند و تشویق میشوند تا بهبودهای کدی را مستقیماً به توسعهدهندگان ارائه دهند، هر کسی میتواند کدی برای رفع آسیبپذیری به عنوان بخشی از گزارش یک مشکل ارائه دهد. این منجر به بررسی دقیق امنیتی میشود، با بسیاری از نگاهها به کد، شناسایی و گزارش آسیبپذیریها.
این را به عنوان معادل برنامه “نگهبان محله” تصور کنید، که در آن گروههای سازماندهی شده از شهروندان به پیشگیری از جرم و خرابکاری در یک محله اختصاص دارند و در نهایت محیط را برای همه امنتر و ایمنتر میکنند.
بدون "انتظار" برای بهروزرسانیها
با نرمافزارهای بسته (اختصاصی) استاندارد، کاربران کاملاً به شرکتهای پشت نرمافزار وابسته هستند تا بهروزرسانیهای نرمافزاری را دریافت کنند. بهروزرسانیها و اصلاحات برای برنامههای بسته با پروفایل بالا معمولاً نیازمند برنامهریزی پیچیدهای است و اگر بودجه یا منابع در دسترس نباشد، کاربران ممکن است ماهها یا حتی سالها منتظر بمانند تا بهروزرسانی جدیدی ببینند، چه نقصهای امنیتی مشهودی وجود داشته باشد یا نه.
راهحلهای متنباز همچنین در زمینه توسعه و انتشار نسخههای جدید سریعتر و انعطافپذیرتر هستند. این به دلایل مختلفی از جمله این واقعیت است که نرمافزار متنباز همواره نگاههای بیشتری به کد منبع دارد و همچنین علاقه جامعه به بهبود محصول به بهترین شکل ممکن.
مزیت زبیکس
در زبیکس، ما مدتهاست از مزایای امنیتی ذاتی بودن نرمافزار متنباز بهرهمند شدهایم. چون ما نرمافزار متنباز در سطح سازمانی هستیم، توانستهایم رویکرد “بهترینهای هر دو دنیا” را اتخاذ کنیم که ترکیبی از انعطافپذیری و نظارت جامعه متنباز با دانش یک تیم متخصص امنیتی داخلی و سیاستهای امنیتی قوی را ارائه میدهد.
اگر عضوی از جامعه ما یک آسیبپذیری امنیتی را شناسایی کند، بهترین روش برای اطمینان از رفع سریع آن، ایجاد یک مسئله جدید در بخش گزارشهای امنیتی زبیکس (ZBXSEC) در پیگیرگزارشهای عمومی با توصیف دقیق مشکل (و پیشنهاد راهحل در صورت امکان) است. این کار به ما کمک میکند تا اطمینان حاصل کنیم که تنها تیم امنیتی زبیکس و گزارشدهنده به این پرونده دسترسی دارند.
در این مرحله، تیم امنیتی زبیکس مسئله را بررسی کرده و تأثیر بالقوه آن را ارزیابی میکند. تیم سپس بر روی مسئله کار کرده و راهحلی ارائه میدهد، بستههای جدیدی ایجاد کرده و آنها را برای دانلود در دسترس قرار میدهد. مشتریان با توافقهای پشتیبانی از آسیبپذیریهای امنیتی که برطرف شدهاند مطلع شده و فرصتی برای ارتقاء قبل از اینکه مسئله به عموم اعلام شود، دریافت میکنند. پس از آن، اعلام عمومی برای جامعه انجام میشود.
خطر امنیتی دیگر شامل وابستگیهای پیچیده به کتابخانههای متنباز دیگر است که هر وابستگی میتواند آسیبپذیریهایی را معرفی کند اگر به درستی مدیریت نشود. مثال بارز آن، حمله repojacking در GitHub در سال 2023 است که آسیبپذیری حیاتی در یک مخزن متنباز منجر به افشای بیش از 4000 مخزن دیگر شد.
برای کاهش احتمال این حملات زنجیره تأمین، ما از ابزارهایی استفاده میکنیم که میتوانند یک SBOM (فهرست مواد نرمافزاری) تولید کنند، که اساساً لیستی از اجزای سازنده نرمافزار است. این کار پیگیری هر جزء فردی را آسان میکند و اقدام مناسب در صورت بروز مشکلی را ممکن میسازد. علاوه بر این، این واقعیت که مشتریان ما تنها مالکان دادههای خود هستند، منبع دیگری از مشکلات امنیتی را از بین میبرد – برخلاف دیگر فروشندگان نرمافزار، هیچ خطری از دسترسی مهاجمان به سیستمهای در حال اجرای زبیکس وجود ندارد.
به عنوان خط دفاعی اضافی، ما با HackerOne، پلتفرم پیشرو جهانی برای هکرهای اخلاقی، همکاری میکنیم تا یک برنامه پاداش اشکالات خاص زبیکس را حفظ کنیم که هکرهای اخلاقی برتر جهان را به چالش میکشد تا نقاط ضعف کد ما را پیدا کرده و به ما اطلاع دهند تا به موقع آنها را اصلاح کنیم. ما به نحوه همکاری جامعهامان در کمک به ما برای امنتر کردن زبیکس افتخار میکنیم و با چند اصلاحات، مطمئنیم که میتوانیم در آینده پاداشهای بیشتری برای اشکالات پرداخت کنیم.
منبع : بلاگ ZABBIX
