بحث
سلاسل توريد البرمجيات: مخاطر خفية في امتدادات IDE
أخرى #سلاسل_توريد_البرمجيات #امتدادات_IDE

سلاسل توريد البرمجيات: مخاطر خفية في امتدادات IDE

تاريخ النشر: آخر تحديث: 67 مشاهدة 0 تعليق 4 دقائق قراءة
67 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

أصبحت بيئات التطوير المتكاملة (IDEs) تحظى بشعبية متزايدة في عصر الذكاء الاصطناعي التوليدي، ولكن خبراء الأمن يحذرون من أنها تحمل مخاطر خفية يجب معالجتها مع استمرار الهجمات على سلاسل توريد البرمجيات في النمو. تجمع IDEs بين الأدوات الأساسية والقدرات التي يحتاجها المطورون لبرمجة وتحرير واختبار كود البرمجيات. يمكن تقديمها كحزمة برامج محلية أو كمنصة سحابية. ورغم أن IDEs شهدت زيادة في الاعتماد مع سعي المنظمات لتبسيط وتسريع تطوير البرمجيات، فقد اكتشف الباحثون في مجال الأمن في السنوات الأخيرة عدة نقاط ضعف ومخاطر قد تهدد سلاسل توريد البرمجيات.

تكشف الأبحاث الأخيرة، التي نشرتها شركة OX للأمن السيبراني، عن المخاطر الخفية للامتدادات المعتمدة في IDEs. بينما توفر IDEs مجموعة من أدوات وميزات التطوير، هناك مجموعة متنوعة من الامتدادات الخارجية التي تقدم قدرات إضافية ومتاحة في كل من الأسواق الرسمية والمواقع الخارجية. وفقًا لشركة OX، وجد الباحثون نقاط ضعف حرجة في كيفية تعامل عدة IDEs مشهورة — مثل Visual Studio Code وVisual Studio وIntelliJ IDEA — مع حالة التحقق من الامتدادات المقدمة عبر أسواقها الرسمية.

تهديدات موثوقة؟

يقول موشيه سيمون-توف بوستان، الباحث الأمني في OX، لموقع Dark Reading إن فريق البحث في الشركة تساءل عما إذا كانت امتدادات IDE قد تحمل مخاطر مشابهة لتلك التي تقدمها امتدادات المتصفح. "هناك الكثير من الامتدادات الضارة في متصفح Chrome، على سبيل المثال، التي تتسلل إلى المتجر الرسمي وتنتهي بها الحال في المتصفحات، واعتقدنا أن الأمر قد يكون صحيحًا بالنسبة للمطورين وامتدادات IDE أيضًا،" كما يقول.

لاختبار هذه النظرية، أنشأ الباحثون امتدادًا جديدًا لـ Visual Studio Code وقدموا طلبه إلى سوق Visual Studio التابع لشركة مايكروسوفت. وفقًا للبحث، يمكن لأعضاء المجتمع نشر امتدادات في المتجر، والتي يمكن أن تحصل على رمز علامة زرقاء بعد اجتياز عملية التحقق من الناشر، التي تفحص كل من الناشر والامتداد نفسه. لكن باحثي OX أدركوا أنهم يمكنهم إضافة وظائف إلى الامتدادات المعتمدة بعد ذلك وما زالوا يحتفظون برمز علامة التحقق. بعد تحليل حركة المرور لـ Visual Studio Code، وجد الباحثون طلب خادم إلى السوق يحدد ما إذا كان الامتداد معتمدًا؛ واكتشفوا أنهم يمكنهم تعديل القيم الموجودة في طلب الخادم والحفاظ على حالة التحقق حتى بعد إنشاء نسخ ضارة من الامتدادات المعتمدة.

تهديدات سلاسل توريد البرمجيات

باستخدام هذه التقنية الهجومية، يمكن لمهاجم إدخال كود ضار في امتدادات معتمدة تبدو آمنة تحافظ على حالتها المعتمدة. "يمكن أن يؤدي ذلك إلى تنفيذ كود عشوائي على محطات عمل المطورين دون علمهم، حيث يظهر الامتداد موثوقًا،" كتب سيمون-توف بوستان وزادوك. "لذا، فإن الاعتماد فقط على رمز التحقق للامتدادات غير مستحسن." يقول سيمون-توف بوستان إن مثل هذه الهجمات يمكن أن يكون لها عواقب وخيمة على المنظمات لأن المطورين غالبًا ما يمتلكون اعتمادات مميزة، ويمكن للمهاجمين استخدام الوصول للتوغل في البيئة المؤسسية. كما يؤكد أن امتدادات IDE الضارة يمكن أن تؤدي إلى عواقب وخيمة حتى على المستوى الأساسي حيث يستخدم المهاجم الامتداد لقراءة والحصول على كود سري. "يكفي أن يقوم مطور واحد بتحميل أحد هذه الامتدادات،" كما يقول. "ونحن لا نتحدث عن الحركة الجانبية. لا يحتاج الامتداد إلى القيام بأي شيء معقد. يمكن أن يكون مجرد قراءة الكود الذي يُسمح للامتداد بقراءته، وهذا لا يزال مخيفًا للغاية." قد يكون هذا الأمر كارثيًا بشكل خاص للمنظمات التي تستخدم IDEs لمشاريع الذكاء الاصطناعي التوليدي، كما يقول سيمون-توف بوستان.

على الرغم من هذه المخاطر، لا يبدو أن بائعي IDE يرون أن هذا الاتجاه الهجومي يمثل تهديدًا جديًا. شمل تقرير OX ردودًا من مايكروسوفت وجيت برينز وكورسر. قالت مايكروسوفت إن البحث لم يصل إلى المعايير المطلوبة للخدمة الفورية. من جانبها، قالت كورسر إنها لا تتحقق من توقيع الامتدادات على الإطلاق. كما أشارت الشركة إلى سياستها الأمنية، التي تشير إلى أن Visual Studio Code بدأت مؤخرًا فقط في التحقق من الامتدادات التي تم تنزيلها من سوق مايكروسوفت وتقوم بالتحقق فقط في وقت التثبيت، وليس بشكل مستمر. في ردها، قالت جيت برينز إن الامتدادات الضارة في هجمات OX النموذجية لم تأت من سوق جيت برينز، وبالتالي يتحمل المستخدم الفردي مسؤولية تنزيل وتثبيت الكود من مصدر غير موثوق.

يقول سيمون-توف بوستان إنه يفهم الحجج من البائعين الثلاثة وأنه يجب على المستخدمين تثبيت البرمجيات فقط من المتاجر أو الأسواق الرسمية. ومع ذلك، فإنه يؤكد أن المحتوى الضار غالبًا ما يتجاوز الفحوصات الأمنية ويصل إلى مثل هذه الأسواق. ومع ارتفاع هجمات سلاسل توريد البرمجيات، قد يتعرض صانع امتداد شرعي للاختراق، مما يسمح للمهاجمين بتسليح امتدادات IDE المعتمدة بالفعل. علاوة على ذلك، فإن مطالبة المطورين بتنزيل الكود من المتاجر والأسواق الرسمية فقط ليست واقعية، كما يقول سيمون-توف بوستان. هناك ببساطة العديد من التطبيقات والأدوات المتاحة من خلال منصات موثوقة ولكن غير رسمية مثل GitHub، حيث يمكن أن يستفيد المهاجمون من هذه الثغرات في التحقق.

بشكل عام، يقول سيمون-توف بوستان إن IDEs تحتاج إلى مزيد من الحماية، وأن مشكلة التحقق هي "مجرد قمة الجبل الجليدي." حثت OX المطورين الذين يستخدمون IDEs على تنفيذ تحقق متعدد العوامل لتوقيع الامتدادات؛ وتثبيت الامتدادات المعتمدة فقط الموقعة من السوق؛ والتحقق من تجزئة كل ملف من ملفات الامتداد. كما أوصت الشركة بأن يتحقق بائعو الامتداد من سلامة توقيع الكود الخاص بهم وينفذوا التحقق من الشهادات لمنع هجمات الخصم في منتصف الطريق.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!