موزیلا و تأسیس صندوقی برای پروژه‌های متن‎باز امن

در تلاش برای کمک به نرم‌افزارهای متن باز، موزیلا این هفته اعلام کرد که صندوقی را برای نرم‌افزار متن‌باز (SOS) تأسیس می‌کند که موجودی اولیه‌ی آن ۵۰۰ هزار دلار است.
صندوق SOS، برای این ایجاد شده تا از ممیزی، بازسازی و تأیید امنیتی برای پروژه‌های متن‌باز پشتیبانی کند و مانع از این شود که آسیب‌پذیری‌های عمده‌‌ای همچون Heartbleed Shellshock که قبلاً به درون این نرم‌افزارها راه پیدا کرده بودند، دوباره در آن‌ها ظاهر شوند. به گفته‌ی موزیلا، هیچ پشتیبانی مناسبی برای نرم‌افزارهای متن‌باز تا کنون وجود نداشته است و ابتکار جدید برای تغییر در این وضعیت به وجود آمده است.

این صندوق به عنوان بخشی از برنامه پشتیبانی متن‌باز موزیلا (MOSS) است و به گفته‌ی موزیلا، مبلغ ۵۰۰ هزار دلار سرمایه اولیه باید بتواند ممیزی مجموعه‌ای از کتابخانه‌ها و برنامه‌های متن‎بازی که به صورت گسترده استفاده می‌شوند را پوشش دهد. با این حال موزیلا، میلیون‌ها سازمانی را که از نرم‌افزارهای متن‌باز استفاده می‌کنند به چالش می‌کشد تا به این برنامه پشتیبانی مالی اضافی برای این نرم‌افزارها بپیوندند.
کریس ریلی، ریاست بخش سیاست‌های عمومی بنیاد موزیلا در یکی از پست‌های وبلاگ خود می‌گوید: «نرم‌افزارهای متن‌باز توسط میلیون‌ها شرکت و هزاران مؤسسه و سازمان آموزشی و دولتی برای خدمات و برنامه‌های حیاتی خود استفاده می‌شوند. از گوگل و مایکروسافت تا سازمان ملل متحد، کدهای متن‌باز اکنون در داخل نرم‌افزارها تنیده شده تا جهان را شکل دهد. در واقع، بسیاری در اینترنت و در درون زیرساخت‌های شبکه که از آن پشتیبانی می‌کنند، از فناوری‌های متن‎باز استفاده می‌کنند».

همچنین این سازمان اشاره می‌کند که امنیت فرایندی است که نیاز به سرمایه‌گذاری در زمینه‌های مختلف از جمله آموزش و و یافتن بهترین شیوه‌های عمل دارد تا بتوان از مزایایی قابل توجه و پایدار آن برخوردار شد. کریس ریلی می‌گوید که از صندوق اخیراً معرفی شده انتظار می‌رود تا «به منافع کوتاه مدت کمک کند و این صنعت را برای کمک به تقویت پروژه‌های متن‎باز به حرکت وادارد».
به گفته‌ی ریلی، موزیلا متعهد است که با شرکت‌های امنیت حرفه‌ای قرار داد ببندد و به آنها پول بپردازد تا به بررسی و نظارت بر کدهای دیگر پروژه‌های متن‌باز بپردازند و همچنین با پشتیبانی‌کنندگان از پروژه‌های متن‌باز همکاری کند تا بتوانند از پروژه‌های خود حمایت کرده و وصله‌های امنیتی را برای محصولات خود ارائه کنند و به مدیریت مشکلات افشای اطلاعات بپردازند. این سازمان همچنین برای تأیید کارهای بازسازی نرم‌افزار نیز هزینه می‌کند تا مطمئن شود که همه‌ی حفره‌های ممکن وصله شده‌اند.

موزیلا تا حال حاضر از این ابتکار برای بررسی سه نرم‌افزار متن‎باز استفاده کرده و می‌گوید که در طی این فرایندها در مجموعه ۴۳ حفره‌ی شناسایی شده و برطرف شده‌اند. یکی از این حفره‌ها، یک آسیب‌پذیری حیاتی بوده است در حالی‎که دو حفره‌ی دیگر بر یک قالب تصویری شدیداً پرکابرد تأثیر می‌گذارد (که در کتابخانه‌ی libjpeg-turbo که به همراه استاندارد JPEG منتشر می‌شود، وجود دارد).
ریلی می‌گوید:‌ «این نتایج موجب تأیید فرضیه‌ی سرمایه‌گذاری می‌شود و ما از دریافت اطلاعات در این موارد هیجان‌زده می‌شویم». همچنین او اشاره می‌کند که از زمانی که همه به نرم‌افزارهای متن‎باز روی آورده‌اند، شرکت‌ها و سرمایه‌گذاران باید به امنیت این بستر اهمیت بیشتری بدهند و توسعه‌دهندگان نیز به پشتیبانی بیشتر از این جهت بپردازند.

در بیانیه‌ای جهت حمایت از این ابتکار عمل، جمیز لویس معاون ارشد و مدیر برنامه فناوری استراتژیک از مرکز مطالعات بین‌المللی و استراتژیک اشاره کرده است که محصولات تجاری و عملکردهای کلیدی در اینترنت بر پایه‌ی نرم‌افزارهای متن‎باز قرار دارند، اما توجه خیلی کمی به وصله و به‎روزرسانی این نرم‌افزارها شده است. همچنین او خاطرنشان کرده است که همه‌ی نرم‌افزارها دارای حفره‌های قابل بهره‌برداری هستند و این برای کدنویسی طبیعی است اما باید مراقب بود که این حفره‌ها موجب ایجاد فرصت برای مجرمان و اختلال در روند کار نشوند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.