تطبيقات تستخدم بروتوكولات تنطوي على «ثغرات أمنية» خطيرة
المؤسسات ليست صارمة مع البرامج مفتوحة المصدر والرموز التجارية. من المصدر
تحتوي تطبيقات تجارية شائعة من فئات تراوح من المتصفحات إلى تطبيقات المراسلة، على مكونات مفتوحة المصدر، بها ثغرات أمنية، وذلك وفقاً لدراسة حديثة. ووجدت الدراسة التي أجرتها مؤسسة «أوسترمان ريسيرتش»، أيضاً، أنه من بين المتصفحات الأكثر شيوعاً والبريد الإلكتروني وتطبيقات مشاركة الملفات والاجتماعات عبر الإنترنت ومنتجات المراسلة التي تم اختبارها، يحتوي 85% على ثغرة خطيرة على الأقل، وذلك بحسب تقرير نشره موقع «تيك نيوز وورلد».
وقال كبير المحللين في «أوسترمان ريسيرتش»، مايكل سامبسون: «غالباً ما تشتمل تطبيقات البرامج التجارية على مكونات مفتوحة المصدر، يحتوي الكثير منها على مجموعة من الثغرات الأمنية المعروفة التي يمكن استغلالها بواسطة برامج ضارة، ومع ذلك لا يتم الكشف عن وجودها في الغالب»، مضيفاً: «هذا الخلل في التطبيقات الشائعة هو في الأساس قنبلة موقوتة تزيد من المخاطر الأمنية للمؤسسة، ومساحة الهجوم، وإمكانية القرصنة من قبل مجرمي الإنترنت».
والاجتماعات عبر الإنترنت، وعملاء البريد الإلكتروني، لديهم أعلى متوسط لنقاط الضعف، وهي الفئات الأكثر تعرضاً للتهديدات، وفقاً للدراسة. وزاد الطلب على الاجتماعات عبر الإنترنت بسبب الوباء، وهذا هو السبب في أن تطبيقات الاجتماعات عبر الإنترنت تحتوي على المزيد من المكونات مفتوحة المصدر، والمزيد من نقاط الضعف، حسبما أوضح كريستيان سيمكو الذي يدير قسم تسويق المنتجات في «جراما تيك»، وهي شركة لاختبار أمان التطبيقات ومقرها ولاية ميريلاند.
وأضاف سيمكو، أن «تطبيقات البريد الإلكتروني والمراسلات قد تحتوي على العديد من العيوب لأنها تعتمد بروتوكول اتصال مفتوح المصدر».
واعتبر الخبراء البروتوكول مفتوح المصدر نقطة ضعف جسيمة موجودة في جميع التطبيقات تقريباً.
من جهته، أكد ساريو نيار، الذي يرأس شركة «غوروكال»، وهي شركة متخصصة في التهديدات الأمنية، ومقرها ولاية كاليفورنيا، أنه بالنسبة للمؤسسات التي تستخدم المكونات مفتوحة المصدر أو برامج أخرى، يتعين عليها مراقبة استخدام المصدر المفتوح في برامجها، وتصحيح أو استبدال البرامج مفتوحة المصدر التي بها ثغرات أمنية، لافتاً إلى أن العديد من المؤسسات لا تكلف نفسها عناء الاحتفاظ بقائمة مفصلة لاستخدامها للمصادر المفتوحة، ولا تتبع لوحات الرسائل الخاصة بها، وهذا يجعلها عرضة للهجمات من قبل برامج استغلال الثغرات.
وقال الخبير في «جراما تيك»، آندي ماير: «ستتحقق المؤسسات من الكود المخصص لها بدقة، ولكنها ليست صارمة مع البرامج مفتوحة المصدر والرموز التجارية».
وأوضح ماير، أن «كل ذلك يعود إلى درجة المراقبة والإشراف، والتي غالباً ما تفتقر إليها التطبيقات مفتوحة المصدر، ونحن بحاجة إلى التفريق بين التطبيقات التي ترعاها وتديرها المنظمات، شركات البرمجيات أو المنظمات غير الربحية، وتلك التي أطلقها ويقوم بصيانتها أفراد أو مجموعات غير منظمة».
في المقابل، أشار خبراء إلى أن المصادر مفتوحة المصدر تختلف من مكون إلى آخر، وأن الخطر الذي تشكله المكونات مفتوحة المصدر على التطبيقات ليس له علاقة بالمكون نفسه، بقدر ما يتعلق بسلسلة التوريد التي تدعمه.