ইন্টেলিজেন্ট সিকিউরিটি সামিট থেকে সমস্ত অন-ডিমান্ড সেশন এখানে দেখুন.
সফ্টওয়্যার উন্নয়ন প্রক্রিয়া দ্রুত এবং দ্রুততর হচ্ছে. ডেভপস দলগুলি বাজারে যাওয়ার জন্য ক্রমবর্ধমান চাপের মধ্যে রয়েছে এবং তারা দ্রুত কাজ করতে সক্ষম হয়, কিছু অংশে ওপেন-সোর্স সফ্টওয়্যার প্যাকেজ (ওএসএস) এর জন্য ধন্যবাদ৷
OSS এতটাই প্রচলিত হয়েছে যে এটি আধুনিক সফ্টওয়্যারের প্রতিটি অংশের আনুমানিক 80 থেকে 90% এর জন্য দায়ী। কিন্তু যদিও এটি সফ্টওয়্যার বিকাশের জন্য একটি দুর্দান্ত ত্বরণকারী হয়েছে, OSS একটি বড় পৃষ্ঠ তৈরি করে যা সুরক্ষিত করা প্রয়োজন কারণ সেখানে লক্ষ লক্ষ বেনামী প্যাকেজ রয়েছে যা বিকাশকারীরা সফ্টওয়্যার তৈরি করতে ব্যবহার করে।
বেশিরভাগ ওপেন সোর্স ডেভেলপার সরল বিশ্বাসে কাজ করে; তারা অন্যান্য ডেভেলপারদের জন্য জীবন সহজ করতে আগ্রহী যারা তারা সমাধান করতে চান একই চ্যালেঞ্জের সম্মুখীন হতে পারে। এটি একটি অকৃতজ্ঞ কাজ কারণ একটি OSS প্যাকেজ প্রকাশ করার কোন আর্থিক সুবিধা নেই এবং মন্তব্য থ্রেডগুলিতে প্রচুর প্রতিক্রিয়া রয়েছে৷ GitHub-এর ওপেন সোর্স সার্ভে অনুসারে, “সবচেয়ে সাধারণ খারাপ আচরণ হল অভদ্রতা (45% সাক্ষী, 16% অভিজ্ঞ), তারপরে নাম ডাকা (20% সাক্ষী, 5% অভিজ্ঞ) এবং স্টেরিওটাইপিং (11% সাক্ষী, 3% অভিজ্ঞ) “
দুর্ভাগ্যবশত, প্রতিটি OSS প্যাকেজ বিশ্বাস করা যায় না। ওপেন সোর্স কোডে করা পরিবর্তনগুলির জন্য অ্যাট্রিবিউশন ট্র্যাক করা কঠিন, তাই কোডের অখণ্ডতার সাথে আপস করতে চাওয়া দূষিত অভিনেতাদের সনাক্ত করা প্রায় অসম্ভব হয়ে পড়ে। দূষিত ওপেন সোর্স সফ্টওয়্যার প্যাকেজ ঢোকানো হয়েছে এটা স্পষ্ট করার জন্য যে বড় কোম্পানিগুলি এই প্যাকেজগুলি ব্যবহার করে কিন্তু তাদের উন্নয়নে অর্থায়ন করে না, এবং কখনও কখনও সম্পূর্ণরূপে দূষিত কারণে।
ঘটনা
চাহিদা অনুযায়ী ইন্টেলিজেন্ট সিকিউরিটি সামিট
সাইবার নিরাপত্তা এবং শিল্প-নির্দিষ্ট কেস স্টাডিতে AI এবং ML-এর গুরুত্বপূর্ণ ভূমিকা জানুন। আজ অন-ডিমান্ড সেশন দেখুন।
এখানে দেখুন
যদি একটি OSS প্যাকেজ সফ্টওয়্যার তৈরি করতে ব্যবহৃত হয় এবং একটি দুর্বলতা থাকে, তাহলে সেই সফ্টওয়্যারটিরও এখন একটি দুর্বলতা রয়েছে। একটি ব্যাকডোর দুর্বলতা সম্ভাব্য লক্ষ লক্ষ অ্যাপ্লিকেশনের সাথে আপস করতে পারে, যেমনটি আমরা গত বছর Log4j এর সাথে দেখেছি। OpenLogic এর স্টেট অফ ওপেন সোর্স রিপোর্ট অনুসারে, 77% সংস্থা গত বছর তাদের OSS ব্যবহার বাড়িয়েছে এবং 36% রিপোর্ট করেছে যে বৃদ্ধি উল্লেখযোগ্য ছিল। কিন্তু লিনাক্স ফাউন্ডেশনের গবেষণা দেখায় যে শুধুমাত্র 49% সংস্থার একটি নিরাপত্তা নীতি রয়েছে যা OSS এর বিকাশ বা ব্যবহারকে কভার করে।
তাহলে আপনি কীভাবে আপনার ক্লাউড অ্যাপ্লিকেশন ডেভেলপমেন্টের ঝুঁকি ওএসএসকে আরও ভালভাবে বুঝতে পারবেন এবং এটি প্রশমিত করার জন্য কাজ করবেন?
দৃশ্যমানতা পান
আপনি কোন ধরনের হুমকির সম্মুখীন হচ্ছেন তা বোঝার প্রথম ধাপ হল আপনার আবেদনের পৃষ্ঠকে বোঝা। আপনার সফ্টওয়্যারে কোন OSS প্যাকেজগুলি এবং কোন সংস্করণগুলি ব্যবহার করা হয় সে সম্পর্কে অন্তর্দৃষ্টি পেতে আপনার সাইবার নিরাপত্তা নিয়ন্ত্রণগুলিতে অটোমেশন তৈরি করুন৷ ইতিমধ্যেই ইন্টিগ্রেটেড ডেভেলপমেন্ট এনভায়রনমেন্টে (IDE) শুরু করার মাধ্যমে, আপনি এই অভ্যাসটিকে আপনার ডেভেলপারদের ওয়ার্কফ্লোতে ফিট করতে পারেন যাতে তাদের গতি কমে না যায়।
এছাড়াও অবকাঠামোকে কোড (IaC) হিসাবে বিবেচনা করুন, যেমন Terraform। আপনি কি আপনার ব্যবহার করা সমস্ত মডিউল সম্পর্কে সচেতন? অন্য কেউ সেগুলি তৈরি করলে, তারা কি আপনার নিরাপত্তা নিয়ন্ত্রণ মেনে চলে?
একবার আপনি আপনার OSS ব্যবহারের সুযোগ বুঝতে পারলে, আপনি ধীরে ধীরে নিয়ন্ত্রণ প্রতিষ্ঠা শুরু করতে পারেন। আপনাকে ওভারভিউ এবং বিকাশকারীদের স্বাধীনতা এবং গতির মধ্যে একটি ভারসাম্য খুঁজে পেতে হবে।
ওপেন সোর্স সফ্টওয়্যার মধ্যে ডুব
ইন্ডাস্ট্রি স্ট্যান্ডার্ড হল সাপ্লাই-চেইন লেভেলস ফর সফ্টওয়্যার আর্টিফ্যাক্টস (SLSA), মান ও নিয়ন্ত্রণের একটি কাঠামো যার লক্ষ্য “আপনার প্রকল্পে টেম্পারিং প্রতিরোধ, অখণ্ডতা উন্নত করা এবং নিরাপদ প্যাকেজ এবং অবকাঠামো”। আপনার ডেভেলপাররা এটি ব্যবহার শুরু করার আগে একটি OSS প্যাকেজ পরিচিত সমস্যা আছে কিনা তা নির্ধারণ করতে SLSA ব্যবহার করে আপনি কিছু সরঞ্জাম ব্যবহার করতে পারেন।
সেখান থেকে আপনার হয় বিশ্বস্ত উত্সগুলির একটি “অনুমোদিত তালিকা” তৈরি করা উচিত এবং অন্য সকলকে প্রত্যাখ্যান করা উচিত, অথবা অন্ততপক্ষে এমন উদাহরণগুলি পরীক্ষা করা উচিত যেখানে “অনুমোদিত তালিকা”-তে নেই এমন উত্সগুলি ব্যবহার করা হয়েছে৷ ওপেন সোর্স সিকিউরিটি ফাউন্ডেশন (ওপেনএসএসএফ) দ্বারা প্রকাশিত যৌগিক বিশ্লেষণ সেই “অনুমোদিত তালিকা” কেমন হওয়া উচিত তা নির্ধারণ করতে সহায়তা করতে পারে।
টেক জায়ান্টরাও ওপেন সোর্স সফ্টওয়্যার সুরক্ষা শুরু করেছে কারণ তারা এই প্যাকেজগুলিও ব্যবহার করে। Google একটি $100 মিলিয়ন প্রতিশ্রুতি দিয়েছে “OpenSSF-এর মতো তৃতীয় পক্ষের ফাউন্ডেশনকে সমর্থন করার জন্য যা ওপেন-সোর্স নিরাপত্তা অগ্রাধিকারগুলি পরিচালনা করে এবং দুর্বলতাগুলি সমাধান করতে সহায়তা করে।” এটিতে একটি বাগ বাউন্টি প্রোগ্রামও রয়েছে যা OSS প্যাকেজে বাগ খুঁজে পাওয়া গবেষকদের ক্ষতিপূরণ দেওয়ার জন্য এটিকে “পুরস্কার প্রোগ্রাম” হিসাবে অবস্থান করে।
আমাজন, মাইক্রোসফ্ট এবং গুগলের নেতৃত্বে একটি পৃথক উদ্যোগে ওপেন সোর্স সফ্টওয়্যার নিরাপত্তা জোরদার করার জন্য $10 মিলিয়ন রয়েছে, তবে এটি 2021 সালে কোম্পানিগুলির সম্মিলিত রাজস্বের 0.001%। যদিও একটি প্রশংসনীয় এবং উল্লেখযোগ্য প্রচেষ্টা, এটি সমুদ্রের তুলনায় একটি হ্রাস। সমস্যার সুযোগ।
সচেতনতা বাড়ান
ওএসএস এবং এর ক্রমাগত উদ্ভাবনের উপর নির্ভর করে এমন প্রযুক্তি জায়ান্টদের থেকে বৃহত্তর বিনিয়োগের প্রয়োজন, তবে আমাদের আরও সম্প্রদায়ের অংশগ্রহণ এবং শিক্ষার প্রয়োজন।
OSS প্যাকেজগুলি ডেভেলপারদের উপকার করে, এবং ল্যান্ডস্কেপ সেই কোড লেখকদের বেনামীকে উৎসাহিত করে। তাহলে, নিরাপত্তাকে অগ্রাধিকার দিয়ে আমরা কোথায় যাচ্ছি?
সফ্টওয়্যার কোডে OSS প্যাকেজগুলি অন্ধভাবে যুক্ত করার সাথে সম্পর্কিত সম্ভাব্য ঝুঁকি সম্পর্কে কলেজ-স্তরের বিকাশকারীদের প্রশিক্ষণ দেওয়া শুরু করার জন্য একটি ভাল জায়গা। এই প্রশিক্ষণটি একটি পেশাদার স্তরে চালিয়ে যাওয়া উচিত যাতে সংস্থাগুলি কখনও কখনও এই প্যাকেজগুলি এবং তাদের সফ্টওয়্যারগুলিতে অনুপ্রবেশকারী হুমকির বিরুদ্ধে নিজেদের রক্ষা করতে পারে৷
ক্লাউড নেটিভ কম্পিউটিং ফাউন্ডেশন (সিএনসিএফ) এর মতো সংস্থাগুলির দিকে ঝুঁকে থাকা, যা কিছু সেরা ওপেন সোর্স প্রকল্পগুলিকে ম্যাপ করেছে, এটিও একটি ভাল ভিত্তি প্রদান করে৷
ওপেন সোর্স সফ্টওয়্যার প্যাকেজগুলি অ্যাপ্লিকেশনগুলির দ্রুত বিকাশের একটি অপরিহার্য অংশ, তবে তাদের ঝুঁকিগুলি হ্রাস করতে এবং সাইবার-আক্রমণ প্রতিরোধ করতে আমাদের ভিতরে কী রয়েছে তার প্রতি আরও মনোযোগ দিতে হবে।
আকাশ শাহ oak9-এর সহ-প্রতিষ্ঠাতা এবং CTO.
ডেটা সিদ্ধান্ত নির্মাতারা
VentureBeat সম্প্রদায়ে স্বাগতম!
DataDecisionMakers হল যেখানে বিশেষজ্ঞরা, সহ প্রযুক্তিগত ব্যক্তিরা যারা ডেটা কাজ করে, ডেটা-সম্পর্কিত অন্তর্দৃষ্টি এবং উদ্ভাবন শেয়ার করতে পারে।
উন্নত ধারণা এবং আপ-টু-ডেট তথ্য, সর্বোত্তম অনুশীলন এবং ডেটা এবং ডেটা প্রযুক্তির ভবিষ্যত সম্পর্কে পড়তে, DataDecisionMakers-এ যোগ দিন।
আপনি এমনকি নিজেকে একটি নিবন্ধ অবদান বিবেচনা করতে পারেন!
DataDecisionMakers থেকে আরও পড়ুন