تتبرع Stacklok بمشروع أمان سلسلة التوريد الخاص بـ Minder إلى OpenSSF

Stacklok، شركة سلسلة توريد البرمجيات مفتوحة المصدر التي أسسها المؤسس المشارك لـ Kubernetes Craig McLuckie ومبدع Sigstore Luke Hinds، تتبرع بـ Minder، أحد مشاريعها الرئيسية، إلى مؤسسة Open Source Security Foundation (OpenSSF). يساعد Minder فرق التطوير على إنشاء نظام من الفحوصات والسياسات الاستباقية لتقليل مخاطر سلسلة التوريد من خلال تطبيق أفضل الممارسات، وباستخدام Sigstore، يضمن أن جميع الحزم التي أنشأها المطورون الذين يستخدمون المشروع موقّعة بشكل مشفر.

إحدى الميزات الرئيسية لـ Minder هي أنها قابلة للتوسيع، وكما أخبرني McLuckie، يأمل فريق Stacklok أن يصبح Minder منصة لمشاريع OpenSSF الأخرى للبناء عليها والتكامل معها.

قال لي: “مثلما كان Kubernetes بمثابة نقطة تكامل لمشاريع CNCF، فإن Minder لديه القدرة على العمل كمنصة لمشاريع OpenSSF: إطار تكامل مشترك لنظام بيئي غني لقدرات الأمان مفتوحة المصدر”. ويأمل أن يصبح مايندر شيئًا أقرب إلى كونه مرساة مجتمعية يمكن أن تشكل الأساس لدمج مجموعة متنوعة من أدوات الأمان وتسهيل تشغيلها.

وكما أشار ماكلوكي، في أغلب الأحيان عندما يستخدم المطورون مكتبة مفتوحة المصدر في مشاريعهم، فإن ذلك يشبه “عمل الإيمان”.

وقال: “الشيء الذي كان بمثابة صدمة بالنسبة لي هو فكرة أن المصدر المفتوح، لجميع المقاصد والأغراض، يتم كتابته في الغالب بواسطة أشخاص عشوائيين على الإنترنت”. “بالنسبة لي، كانت هذه الرحلة هي كيفية زيادة وعي المطورين الذين يستهلكون المصادر المفتوحة، ومساعدة المجتمعات التي تبني المصادر المفتوحة على القيام بذلك بطريقة أكثر أمانًا واستدامة.”

على الرغم من أن سلسلة توريد البرامج لم تكن دائمًا في مقدمة اهتمامات المطورين – وربما حتى معظم المتخصصين في مجال الأمن – إلا أن SolarWinds وغيرها من الهجمات الأخيرة قد جعلتها في المقدمة بالتأكيد. واستشهد ماكلوكي بمثال حديث اكتشفه ستاكلوك. قامت مجموعة قرصنة تابعة لكوريا الشمالية بإجراء مقابلات عمل مزيفة مع المطورين الذين كانوا يعملون جميعًا في مجال الويب 3.0/التشفير وطلبت منهم تثبيت حزمة NPM كجزء من اختبارات البرمجة الخاصة بهم. وبطبيعة الحال، كانت هذه الحزمة مصابة ببرامج ضارة واستخدم المهاجمون ذلك كوسيلة للدخول إلى سلسلة التوريد.

وأوضح ماكلوكي: “إننا نرى بعض الأشياء الأكثر تطوراً تخرج من هذه الجهات الفاعلة في الدولة القومية”. “إن أنماط هجومهم تختلف عن أي شيء رأيناه تاريخياً. إنهم يفعلون أشياء مثل نشر حزمة لمدة أربع ساعات، وهم يعلمون أن معظم أدوات تحليل تكوين البرامج لن تتمكن من التقاطها خلال أربع ساعات. سوف ينشرونها ويزيلونها.”

وهذا يعني أن أدوات مثل Minder يجب أن تعترض هذه الهجمات في IDE، في حلقة التطوير الداخلية. “بحلول الوقت الذي يضرب فيه [pull request]قال ماكلوكي: “لقد فات الأوان”.

المقصود من Minder هو أن يكون نظامًا يمكنه تطبيق عناصر التحكم عبر دورة حياة التطبيق بأكملها، بدءًا من IDE ومن خلال مدير الحزم المحلي للمطور، وصولاً إلى بيئة الإنتاج. ويمكنه استيعاب الإشارات من مجموعة متنوعة من المصادر، وقد قامت شركة Stacklok، باعتبارها كيانًا تجاريًا، ببناء إشارات خاصة بها. ولكن يمكنها أيضًا البدء في فرض السياسات، على سبيل المثال، لضمان بدء المطورين في استخدام مكتبات التشفير المقاومة للكم.

وأشار ماكلوكي إلى أن شركة Google، صاحب العمل القديم، قد أبدت أيضًا بعض الاهتمام بهذا المشروع وتدعمه من خلال مساعدة Stacklok، من بين أمور أخرى، في إجراء بعض عمليات التكامل مع خدمات مثل قاعدة بيانات الثغرات مفتوحة المصدر. وأشار أيضًا إلى أنه على الرغم من قيام Stacklok ببناء عمليات تكامل مع GitHub، فإنه يرغب في رؤية المجتمعات الأخرى تقوم ببناء عمليات تكامل مع GitLab وBitBucket والأدوات المماثلة.

بالطبع، بالنسبة لشركة Stacklok كشركة، كلما كان Minder أكثر نجاحًا كمشروع مفتوح المصدر، زادت احتمالية أن تأتي الشركات إلى Stacklok للبحث عن الدعم أو الاشتراك في الخدمة المستضافة. ومع ذلك، أشار ماكلوكي إلى أنه نظرًا لخبرته في النظام البيئي مفتوح المصدر ككل، كان من المهم بالنسبة له ليس فقط إتاحة الكود بموجب ترخيص مفتوح المصدر، ولكن أيضًا التأكد من أن المشروع سيكون مدفوعًا بالمجتمع.

“نريد أن نتأكد من أننا نشير إلى المجتمع بشكل لا لبس فيه ولا رجعة فيه بأن Minder عبارة عن منصة تتمحور حول المجتمع وليست مملوكة لنا. وقال ماكلوكي عندما سألته عن الدافع وراء وضع مايندر تحت مظلة المؤسسة: “إنها في الواقع ستكون مملوكة للمجتمع”. “سنواصل دعمها، ولكن من الواضح أن لدينا خطة للتشغيل والتسويق. وأعتقد، بعد أن عشت هذه الرحلة مع Kubernetes، أشعر بإيجابية شديدة تجاه النتائج التي تمكنا من تحقيقها على خلفية Kubernetes. لقد أصبح نصف أعباء العمل في العالم تعمل على Kubernetes، زيادة أو نقصانًا، في هذه المرحلة. وهكذا، كما تعلمون، أود أن نصل إلى نقطة حيث يتم تأمين نصف أعباء العمل في العالم بواسطة مايندر – وسأشعر بالرضا تجاه ذلك.