كسلسلة توريد برمجيات ظهرت الهجمات كتهديد يومي ، حيث تسمم الجهات الفاعلة السيئة خطوة في عملية التطوير أو التوزيع ، تلقت صناعة التكنولوجيا مكالمة إيقاظ حول الحاجة إلى تأمين كل رابط في السلسلة. لكن تنفيذ التحسينات يمثل تحديًا في الواقع ، لا سيما بالنسبة للنظام الإيكولوجي لتطوير السحابة مفتوح المصدر المترامي الأطراف. الآن ، تقول شركة الأمن Chainguard أن لديها حلًا أكثر أمانًا لمكون واحد موجود في كل مكان ولكن تم تجاهله منذ فترة طويلة.
تعتبر “سجلات الحاويات” نوعًا ما مثل متاجر التطبيقات أو غرف المقاصة حيث يقوم المطورون بتحميل “الصور” للحاويات السحابية التي تحتوي كل منها على برنامج برمجيات مختلف. الخدمات السحابية التي تستخدمها كل يوم تتنقل باستمرار وبصمت في سجلات الحاويات للوصول إلى التطبيقات ، ولكن غالبًا ما تكون هذه السجلات مؤمنة بشكل سيئ بكلمة مرور يمكن فقدها أو سرقتها أو تخمينها. يعني هذا غالبًا أن الأشخاص الذين لا يجب أن يكون لديهم وصول إلى صورة حاوية معينة يمكنهم تنزيلها ، أو الأسوأ من ذلك ، يمكنهم تحميل الصور إلى السجل التي قد تكون ضارة. يهدف سجل صور حاوية Chainguard الجديد إلى سد هذه الفتحة الباطنية ولكنها واسعة الانتشار.
يقول دان لورينك ، الرئيس التنفيذي لشركة Chainguard وباحث في أمن سلسلة إمداد البرامج منذ فترة طويلة: “لقد حدث إلى حد كبير كل شيء سيئ ممكن مع سجلات الحاويات التي يمكنك تخيلها”. “يفقد الأشخاص كلمات المرور ، ويدفع الأشخاص البرامج الضارة عن قصد ، وينسون الأشخاص تحديث الأشياء. كانت الصناعة تستخدم هذا نوعًا ما لفترة طويلة – كان الجميع يستمتعون برمز الشحن – ولم يفكر أحد في العواقب طويلة المدى “.
يقول باحثو Chainguard إنهم فكروا منذ فترة طويلة في تطوير سجل مصمم بشكل أكثر تفكيرًا ، لا سيما السجل الذي يتخلص من كلمات المرور ويستخدم بدلاً من ذلك نهج تسجيل الدخول الفردي للتحكم في الوصول إلى السجل. وبهذه الطريقة ، يمكن تصميم السجل ليكون قابلاً للوصول أو مغلقًا حسب الحاجة ، ويمكن فقط للأشخاص الذين قاموا بتسجيل الدخول إلى حسابات أخرى ، مثل خدمات هوية الشركة أو حسابات Google ، ومن ثم المفوضين تحديدًا التفاعل مع السجل.
يقول جيسون هول ، مهندس برمجيات في شركة Chainguard: “كانت سجلات الحاويات رابطًا ضعيفًا”. “إنها مملة جدًا ، عادية جدًا. هذا برنامج يعتمد على البرامج لتقديم البرامج. نحن بحاجة إلى القيام بعمل أفضل والتخلص من كلمات المرور للتحدث إلى السجل والتمكن من الدفع إلى السجل “.
لكن القيد الكبير على نشر نظام مثل هذا كان مكلفًا. عادةً ما يكون تشغيل سجل حاوية مكلفًا للغاية بسبب “رسوم الخروج”. بعبارة أخرى ، لا يفرض مقدمو الخدمات السحابية رسومًا على عملاء المؤسسات لتحميل البيانات إلى السحابة ، لكنهم يفرضون عليها رسومًا في كل مرة يقوم فيها شخص ما بتنزيل البيانات. لذلك إذا كانت سجلات الحاويات تشبه متجر التطبيقات حيث يأتي الجميع لتنزيل صور الحاويات ، فيمكن أن تصبح رسوم الخروج كبيرة جدًا وسريعة جدًا. أدى هذا إلى تثبيط العمل على إصلاح أمان سجلات الحاويات ، لأنه لم يرغب أحد في تحمل التكلفة المرتبطة بتقديم بديل أكثر أمانًا.
جاء الاختراق الذي حققته شركة Chainguard عندما أعلنت شركة Cloudflare للبنية التحتية للإنترنت عن توفر خدمة تخزين R2 بشكل عام في سبتمبر. الهدف من المنتج هو تقديم رسوم خروج مخفضة لعملاء Cloudflare وحتى عدم وجود رسوم على البيانات التي يتم تنزيلها بشكل غير منتظم. بمجرد ظهور R2 كخيار ، كان لدى باحثي Chainguard كل ما يحتاجونه للمضي قدمًا في سجل أكثر أمانًا.
