كيف أن مراقبة المكتبات بدلاً من الحاويات هي مفتاح أمان المصدر المفتوح

أمن المشاريع مفتوحة المصدر يترك الكثير مما هو مرغوب فيه. مع احتواء 84٪ من قواعد التعليمات البرمجية على ثغرة أمنية مفتوحة المصدر ، تحتاج المؤسسات إلى أن تكون أكثر استباقية في تحديد نقاط الدخول المحتملة في مكونات البرامج النهائية.

إنه تحد يشرع موفر أمان تطبيقات وقت التشغيل ، Oligo Security ، في حله. اليوم ، تركت الشركة خلسة بتمويل قدره 28 مليون دولار. ويضم فريقًا من الضباط السابقين من الوحدات الإلكترونية التابعة لقوات الدفاع الإسرائيلية.

تستخدم منصة Oligo Security محركًا يستند إلى eBPF لاكتشاف نقاط الضعف في التطبيق أثناء وقت التشغيل وتنبيه المستخدم. من خلال الاستفادة من البيانات داخل التطبيق قيد التشغيل ، تقدم الأداة تحليلًا ديناميكيًا على مستوى المكتبة ومراقبة السلوك لتحديد نقاط الضعف في تشغيل الحزم وتحديد أولويات الإصلاحات بناءً على سياق التطبيق.

تعكس جولة التمويل هذه الدور المركزي الذي يجب أن يلعبه تأمين مكونات البرامج مفتوحة المصدر في منع فقدان البيانات المهمة للمهمة.

حركة الأمن مفتوحة المصدر

مع وجود ثغرات أمنية بارزة لـ Log4Shell و Log4j تهز الثقة في البرامج مفتوحة المصدر من 2021 إلى 2022 ، أصبح من الواضح أن المؤسسات لا تستطيع التغاضي عن عمليات الاستغلال المحتملة في مكونات البرامج النهائية. بعد كل شيء ، المنظمات غير المنفتحة على اختراق أنظمتها.

قال Nadav Czerninski ، الرئيس التنفيذي والشريك المؤسس لشركة Oligo Security: “تشتمل التعليمات البرمجية مفتوحة المصدر على 80٪ إلى 90٪ من البرامج الحديثة ، مما يوفر ناقلًا جذابًا للهجوم للدول القومية ومجرمي الإنترنت”.

بعد أن اكتشف غال إلباز ، الشريك المؤسس لشركة Oligo ، أن تطبيقًا واسع الاستخدام مثل Instagram يمكن اختراقه بسهولة باستخدام مكتبة مفتوحة المصدر بطريقة تنحرف عن أذونات المكتبة ، أدركنا أن هناك فجوة واسعة في طريقة قال تشيرنينسكي: “يعالج السوق حاليًا أمن المصادر المفتوحة”.

رداً على ذلك ، أدرك تشيرنينسكي وإيلباز أنهما بحاجة إلى مراقبة سلوك كل مكتبة بدلاً من الحاوية بأكملها مثل حلول وقت التشغيل الأخرى.

تُمكِّن مكتبات المراقبة أثناء وقت التشغيل Oligo من الاستفادة من سياق التطبيق والتركيز على نقاط الضعف الأكثر صلة ، بحيث يمكن للمطورين تحديد أولويات عمليات الاستغلال المحتملة الأكثر ضررًا ومعالجتها أولاً.

سوق أمان التطبيقات

يندرج حل Oligo Security ضمن الفئة الأوسع لسوق أمان التطبيقات ، والتي يقدر الباحثون أنها ستصل إلى 27.7 مليار دولار بحلول نهاية عام 2030.

من بين المزودين الآخرين الذين يقدمون الأمان للتطبيقات ، Aqua Security ، الذي يوفر نظامًا أساسيًا لمسح التطبيقات وصور VM وصور الحاويات والوظائف بدون خادم بحثًا عن نقاط الضعف. ثم يقوم بإنشاء تفاصيل حول معالجة المشكلات المكتشفة.

في مارس 2021 ، أعلنت شركة Aqua Security عن جمع 135 مليون دولار في تمويل السلسلة E وحققت تقييمًا بقيمة مليار دولار.

بالنسبة إلى Elbaz ، فإن استخدام Oligo لتحديد أولويات الثغرات السياقية يميزها عن مقدمي الخدمات الآخرين.

تفتقر الحلول الحالية إلى سياق التطبيق قيد التشغيل ، وبالتالي فهي تنبه حتى عندما لا يمكن حتى استغلال الثغرات الأمنية. نسبة الضوضاء مرتفعة للغاية – حوالي 85٪ من التنبيهات غير ذات صلة في ضوء سياق التطبيق ، “قال إلباز.