برنامه بنیاد لینوکس برای افزایش امنیت پروژه‌های متن‌باز

بنیاد لینوکس گفت یک ابتکار زیر ساخت هسته‌ای۱ (CII) به نام Best Badge Program را در روز سه‌شنبه راه‌اندازی کرده که به شرکت‌هایی کمک خواهد کرد که برای بررسی ایمنی، کیفیت و پایداری پروژه‌هایشان با فناوری‌های متن‌باز کار می‌کنند.
بنیاد لینوکس یک سازمان غیرانتفاعی است که در سال ۲۰۰۷ تأسیس شد تا از توسعه و رشد لینوکس پشتیبانی کند.
این بنیاد در سال ۲۰۰۷ با ادغام آزمایشگاه توسعه متن‌باز یا (OSDL) و گروه استانداردهای آزاد یا (FSG) بنا نهاده شد. بنیاد لینوکس با ارائه مجموعه‌ای از خدمات، لینوکس را در برابر سامانه‌عامل‌های بسته ترویج، محافظت و استانداردسازی می‌کند.
برنامه بهترین عملکرد CII هیچ گواهی‌نامه‌ای صادر نمی‌کند و هیچ پروژه‌ی متن‌بازی را نیز تایید نمی‌کند. در واقع CII زیر ساختی است برای پروژه‌های متن‌باز مثل Open SSL، Node. Jsx و Github تا بتوانند خودشان وضعیت‌های بحرانی پروژه‌هایشان را مشخص کنند.
این برنامه راهی است برای پروژه‌های نرم‌افزاری رایگان و متن‌باز (FLOSS) تا نشان دهند بهترین شیوه را دنبال می‌کنند. پروژه‌ها می‌توانند به طور داوطلبانه و بدون هزینه با استفاده از برنامه وب خود را گواهی کنند. مشتریان نیز بدین ترتیب می‌توانند بفهمند کدام پروژه بهترین شیوه را به کار بسته و در نتیجه نرم‌افزار‌های تولید شده احتمالاً با کیفیت امنیت بیشتری تولید می‌شوند.
مدیر عامل بنیاد لینوکس نیکو ون سامرن گفت: «این برنامه در نوع خود اولین برنامه برای فناوری‌های متن‌باز است و یک راه حل رایگان برای شرکت‌هایی مثل Corsec Security است که گواهی نامه Common Criteria می‌دهد و از راه حل‌های تجاری گران قیمت که اغلب بیشتر از ۱۰۰ هزار دلار هستند استفاده می‌کنند».
سامرن اضافه کرد: «ظاهراً این یک راه خیلی خوب برای طراحان پروژه است که با آن می‌توانند کیفیت راه‌حل‌هایشان را محک بزنند». او گفت CII Best Practice میزان امنیت و پایداری پروژه‌های متن‌باز را بررسی می‌کند تا ببیند با دنیای واقعی منطبق هستند یا خیر و تمامی شک‌ها را در مورد آن پروژه از بین می‌برد.
سامرن گفت که این برنامه همچنین برای طراحان متن‌باز نیز مفید است. «طراحان با استفاده از این برنامه می‌توانند بهترین روش‌های امنیتی را بررسی کنند و راهنمایی برای طراحان و CIO ها ارائه دهند تا ببینند چه پروژه‌ای با معیارهای امنیتی تطابق و سازگاری دارد».
بنیاد لینوکس پیش از این به شرکت‌هایی از جمله Curl ،GitLab ،Linux Kernel ،Open Blox ،Open SSL ،Node.js و Zephyr اطلاع داده است. شما نیز می‌توانید با جستجو در وبگاه CII پروژه‌‌هاییی پیدا کنید و ببینید که آیا مطابق با این برنامه هست یا خیر.
برای مثال یک نمونه CII Badge متن‌باز مربوط به زمانی که هنوز آسیب‌پذیری HeartBleed تعمیر نشده بود با این برنامه سنجیده شد و معلوم شد که مطابق با آن نیست. کاربران Open SSL می‌توانند از وبگاه Open SSL CII دیدن کنند و اطلاعات پایه‌ای، کیفیتی و امنیتی درباره وضعیت پروژه را ببینند. نمونه‌های نشان برخط CII تا زمانی که طراحان پروژه مشکلات را حل کنند، پرچم قرمز دارند. وضعیت فعلی Open SSL منطبق با برنامه است و هیچ خطای امنیتی برای آن گزارش نشده است.
سامرن می‌گوید اگر این برنامه پیش از آسیب‌پذیری عظیم HeartBleed وجود داشت ممکن بود بتوان از وقوع آن جلوگیری کرد. او گفت: «درک بهتر از درون و بیرون پروژه‌های متن‌باز تنها زمانی مفید است که بخواهیم امنیت و قابل اعتماد بودن آن‌ها را بررسی کنیم».
ابتکار زیرساخت هسته‌ای در آوریل سال ۲۰۱۴ و به دنبال حادثه‌ی HeartBleed ساخته شد. گروهی از شرکت‌های فناوری که برای شناسایی پروژه‌های متن‌باز بحرانی با هم کار می‌کردند، CII را ساختند که در شناسایی این نوع پروژ‌ه‌ها به آنها کمک می‌کرد.
سامرن تاکید کرد که برنامه Best Practice نیز یک پروژه متن‌باز است. وی گفت: «اگر معیارها مطابق میل شما نیستند، شماهم بخشی از جامعه هستید و می‌توانید آن را تغییر دهید». رهبران پروژه خود مسئول گزارش دادن هستند.
حامیان این برنامه می‌گویند که با افزایش تعداد پروژه‌های متن‌بازی که شرکت‌هایی مثل فیسبوک، مایکروسافت و گوگل از آنها برای زیرساخت‌های بحرانی مثل Open SSL استفاده می‌کنند، وجود چنین برنامه‌‌‌ی متن‌بازی ضروری است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap