وبلاگ

بر اساس تحقیقات تازه منتشر شده ، کدهای سایه - اسکریپت ها و کتابخانه های شخص ثالث که اغلب بدون تأیید امنیتی به برنامه های کاربردی وب اضافه می شوند، برای وب سایت ها خطراتی ایجاد می کند و انطباق با قوانین حفظ حریم خصوصی را به خطر می اندازد.

محققان همچنین خاطرنشان کردند که کد شخص ثالث، سازمان‌ها را در برابر حملات دیجیتالی و Magecart آسیب‌پذیر می‌کند.

این مطالعه که توسط Osterman Research برای PerimeterX انجام شد، نشان داد که بیش از 50 درصد از متخصصان امنیتی و توسعه دهندگان مورد بررسی معتقد بودند که استفاده از کد شخص ثالث در برنامه‌هایشان خطرات زیادی دارد.

نظرسنج ها همچنین متوجه افزایش نگرانی در میان پاسخ دهندگان در مورد حملات سایبری در وب سایت های خود شدند. سال گذشته، 45 درصد از افراد مورد بررسی نگرانی قابل توجهی در مورد هدف قرار گرفتن پست های اینترنتی خود توسط هکرها داشتند. امسال این رقم به 61 درصد افزایش یافت.

نگرانی در مورد حملات زنجیره تامین نیز افزایش یافته است، از 28 درصد در سال 2020 به 50 درصد در سال 2021. اضطراب ناشی از حملات Magecart نسبت به سال گذشته نیز به میزان قابل توجهی 47 درصد افزایش یافته است. Magecart یا skimming الکترونیکی، نوعی کلاهبرداری است که در آن داده‌های تراکنش در حین پرداخت یک فروشگاه آنلاین رهگیری می‌شود.

متعادل کردن ریسک و کارایی

توسعه دهندگان به دلایل مختلفی از کد شخص ثالث استفاده می کنند.

برایان اوفلمن، معاون بازاریابی محصول در PerimeterX، ارائه‌دهنده خدمات امنیت وب در سن متئو، کالیفرنیا، گفت: «این به راحتی در دسترس است.

او به TechNewsWorld گفت: «فرض نادرستی وجود دارد که اگر آن بیرون چیزی وجود دارد و منبع باز باشد، ایمن است.

او همچنین می گوید : «آنها اعتماد دارند که کد منبع باز که استفاده می‌کنند، یا کتابخانه‌هایی که استفاده می‌کنند، ایمن هستند». "آنچه ما دریافتیم این است که اینطور نیست." .

او همچنین افزود: «اغلب، آنها سعی می کنند کارایی را با ریسک متعادل کنند.

جاناتان تانر، محقق ارشد امنیتی در Barracuda Networks، ارائه‌دهنده راه‌حل‌های امنیتی و ذخیره‌سازی مستقر در کمپل، کالیفرنیا، توضیح داد که کتابخانه‌ها نقش مهمی در توسعه برنامه‌ها ایفا می‌کنند، زیرا قابلیت‌هایی را ارائه می‌کنند که توسعه آن زمان زیادی می‌برد، و در بسیاری از موارد، در صورت توسعه داخلی، مستعد باگ‌ها و اکسپلویت‌های احتمالی هستند.

او به TechNewsWorld گفت: «یک ضرب المثل رایج در مورد عدم اختراع مجدد چرخ در زمان توسعه وجود دارد، که نه تنها در زمان توسعه صرفه جویی می کند، بلکه در نتیجه سطح پیچیدگی بیشتری در برنامه ها ایجاد می کند.

مشکل علاقه

تانر افزود که در برخی موارد کتابخانه های شخص ثالث حتی می توانند از کدهای نوشته شده توسط تیم های توسعه داخلی ایمن تر باشند، حتی اگر آسیب پذیری هایی در معتبرترین آنها کشف شود.

او ملاحظه کرد: «حتی اگر معتبرترین کتابخانه‌ای که به‌طور بالقوه توسط صدها متخصص در خصوص کارهایی که کتابخانه انجام می‌دهد، می‌تواند آسیب‌پذیری داشته باشد، تلاش برای ایجاد و حفظ همان عملکرد در داخل با تیم کوچکی از توسعه‌دهندگان که احتمالاً در مورد عملکرد متخصص نیستند، می‌تواند به طور بالقوه فاجعه بار باشد» .

او می گوید: «مطمئناً در نتیجه استفاده از کتابخانه‌های از پیش موجود، نه تنها از منظر صرفه‌جویی در زمان، بلکه از منظر امنیتی نیز ارزش زیادی دارد» .

Sandy Carielli، تحلیلگر اصلی Forrester Research، ملاحظه می کند که تیم‌های توسعه می‌خواهند محصولات را در سریع‌ترین زمان ممکن عرضه کنند.

او به TechNewsWorld گفت: «بسیاری از مؤلفه‌های شخص ثالث و منبع باز به آن‌ها اجازه می‌دهد تا عملکردهای اساسی را اضافه کنند و بر روی برخی از جنبه‌های متمایزکننده پیچیده‌تر محصول تمرکز کنند».

او گفت: «چالش این است که اگر ندانید این مؤلفه‌های شخص ثالث چه هستند، می‌توانید خود را در انبوهی از مشکلات بیابید.

کیتلین جوهانسون، مدیر مرکز امنیت برنامه خدمات مشاوره امنیت سایبری در وست مینستر، کولو اضافه کرد: «اگر کسب‌وکارهای مدرن می‌خواهند ویژگی‌ها و عملکردهای سریع و ارزان ارائه شود، ناگزیر به قیمت ناتوانی در انجام کاری - یا بسیاری از کارها - به روش صحیح تمام می‌شود.»

او به TechNewsWorld گفت: «ما ساده لوح خواهیم بود اگر فکر کنیم سرعتی که با آن برنامه‌ها و ویژگی‌های جدید به دنیای متکی به فناوری ما ارائه می‌شوند، بدون بریده شدن گوشه‌ و کنار ها به دست می‌آیند.

تجارت پرخطر

Taylor Gulley، مشاور ارشد امنیت برنامه‌های کاربردی با nVisium، ارائه‌دهنده امنیت برنامه مبتنی بر فالز چرچ، می‌گوید: خطرات بی‌شماری وجود دارد که کدهای سایه می‌تواند برای سازمان‌ها ایجاد کند.

او همچنین خاطر نشان کرد ‌: "یکی از آنها وجود پتانسیل برای به خطر انداختن کامل برنامه و داده های درون آن برنامه است."

او ادامه می دهد: «علاوه بر خطرات فنی، اگر آسیب‌پذیری به برنامه شما در نتیجه یک کتابخانه شخص ثالث بررسی نشده معرفی شود، خطرات اعتبار می‌تواند فاجعه‌بار باشد».

هنگامی که سازمانی به کد منبع باز مورد استفاده خود دسترسی نداشته باشد، خطرات صدور مجوز نیز می تواند ظاهر شود.

Forrester's Carielli توضیح داد: "یک جزء منبع باز ممکن است مجوز محدود کننده ای داشته باشد."

او می افزاید: "ناگهان، شما یک جزء به کد خود اضافه کرده اید که از شما می خواهد کل برنامه را منبع باز کنید." "اکنون سازمان شما در معرض خطر است زیرا تمام کدهای اختصاصی شما باید منبع باز باشد."

استفاده گسترده

محققان Osterman همچنین دریافتند که استفاده از کدهای شخص ثالث در سراسر اینترنت گسترده است. تقریباً همه پاسخ دهندگان به نظرسنجی خود (99 درصد) گزارش دادند که وب سایت آنها حداقل از یک اسکریپت شخص ثالث استفاده می کند.

حتی آشکارتر از این یافته ها این بود که 80 درصد از افراد مورد بررسی گفتند که اسکریپت های شخص ثالث 50 تا 70 درصد از وب سایت های آنها را تشکیل می دهند.

کوین دان، رئیس Pathlock، یک ارائه دهنده ارکستراسیون دسترسی یکپارچه در فلمینگتون، نیوجرسی اظهار داشت :
"در حالی که مطالعات رسمی زیادی در مورد شیوع کد سایه وجود نداشته است، می توانیم فرض کنیم که به دلیل استفاده گسترده از جاوا اسکریپت در اکثر وب سایت ها که  بسیار رایج است و تعداد زیادی از کتابخانه های جاوا اسکریپت که در دسترس است،."

او به TechNewsWorld گفت: «بیش از یک میلیون پروژه منبع باز جاوا اسکریپت در GitHub وجود دارد که چالشی غیرقابل حل برای تیم های امنیتی برای بررسی و ارزیابی دستی است.

او اضافه کرد که اگر کد سایه به کد شخص ثالث اجازه می‌دهد تا داده‌های موجود در سایت سازمان را ناآگاهانه مشاهده کند، احتمالاً سازمان را در خطر حفظ مطابقت با GDPR یا CCPA قرار می‌دهد، زیرا یک پردازشگر داده ناشناخته در حال مشاهده داده‌ها بدون افشای عمومی است.

او توضیح داد: «این می‌تواند منجر به میلیون‌ها دلار جریمه بالقوه برای سازمانی شود که ملزم به حفظ این نوع از رعایت حریم خصوصی داده‌ها است».

کریستین سیمکو، مدیر بازاریابی محصول در GrammaTech، ارائه‌دهنده راه‌حل‌های تست امنیت برنامه‌ها که دفتر مرکزی آن در Bethesda، Md، مستقر است، اضافه کرد که کد سایه قطعاً یک مشکل رو به افزایش و مشکلی است که بسیاری از مردم متوجه آن نیستند.

او به TechNewsWorld گفت: «کد سفارشی در حال کاهش است و استفاده از کد شخص ثالث در حال رشد است. اگر به درستی پایگاه کدی را که استفاده می‌کنید مدیریت نمی‌کنید، می‌توانید بدون اینکه بدانید آسیب‌پذیری‌ها را در نرم‌افزار خود وارد کنید.»