الحاويات المعززة: القضاء على الثغرات الشائعة

تعتبر تقنية الحاويات من أبرز الابتكارات في تطوير البرمجيات، ولكنها تواجه تحديات تتعلق بالأمان. تسعى الحاويات المعززة إلى معالجة هذه الثغرات.

تسهل تقنية الحاويات تطوير البرمجيات ونشرها على السحابة، ولكن الصور التي تشكل أساس النظام البيئي تحتوي عادةً على مكونات غير ضرورية ومئات من الثغرات. على سبيل المثال، وجدت دراسة أجرتها Chainguard أن صور Docker المعتمدة على Debian الشهيرة تحتوي في المتوسط على 280 ثغرة، بينما وجدت دراسة نشرتها NetRise استنادًا إلى عينة عشوائية من 70 صورة مختلفة أن متوسط عدد الثغرات في الحاوية الواحدة هو 604.

تعتبر الأعداد الضخمة من الثغرات نتيجة لكيفية إنشاء الصور عادةً – بدءًا من توزيع Linux المعبأ وإضافة برامج أخرى. الهدف هو فقط جعل التكنولوجيا تعمل، كما يقول مايكل دونوفان، نائب رئيس المنتج في Docker.

“ما الذي دعم جميع أحمال العمل الحاوية عبر الصناعة لأكثر من عقد هو تضمين مجموعة من البرمجيات التي لم يكن من الضروري وجودها،” يقول دونوفان. “معظم المطورين لا يفهمون حقًا جميع حزم النظام المختلفة … أنت فقط تريد أن يعمل تطبيقك.”

تعد Docker من بين عدد قليل من الشركات والمنظمات التي تهدف إلى حل مشكلة الثغرات المتزايدة من خلال تقديم مجموعة من الصور المعززة للمطورين – وهي في الأساس إصدارات مصغرة من حزم البرمجيات الشهيرة. تتضمن الصورة المعززة الحد الأدنى من المكونات اللازمة لتلبية احتياجات المطورين وعادة ما تحتوي على ثغرات معروفة أو قريبة من الصفر.

ذات صلة: كيف تؤدي اضطرابات خدمات السحابة إلى جعل المرونة أمرًا حاسمًا للمطورين

تقدم خدمة صور Docker المعززة، التي أُطلقت في مايو، الآن أكثر من 1600 صورة استنادًا إلى أكثر من 240 مشروعًا شهيرًا، مثل Python وPostgreSQL وRedis وTomcat. وقد أنشأت مزود آخر، Chainguard، صورًا معززة لأكثر من 1800 مشروع. وتحافظ شركة ناشئة تدعى CleanStart على صور معززة لأكثر من 350 مشروعًا مفتوح المصدر. عادةً ما تقلل الصور المعززة عدد الثغرات بأكثر من 97%، مما يؤدي إلى وجود ثغرات معروفة أو مكشوفة تقريبًا.

التوازن: الأمان مقابل قابلية الاستخدام

باستخدام هذه الخدمات، يمكن للشركات بناء برمجياتها على حزم برمجيات موثوقة مع فواتير مواد برمجية موثقة والامتثال للمعايير الحكومية، مثل معايير معالجة المعلومات الفيدرالية. بالإضافة إلى ذلك، سيتم تحديث الصور لإزالة أي مكونات غير ضرورية وإصلاح أي مشكلات برمجية.

مع زيادة عدد التطبيقات المعبأة الجديدة التي أنشأها المطورون المعززون بالذكاء الاصطناعي، يسمح وجود صور مؤمنة مسبقًا ومحدثة باستمرار للشركات بإثبات الامتثال، كما يقول نيلش جاين، الرئيس التنفيذي لشركة CleanStart، التي تأمل في التوسع إلى 1000 صورة معززة بنهاية العام.

ذات صلة: UltraViolet توسع قدرات أمان التطبيقات مع أعمال اختبار Black Duck

“يتجه النظام البيئي نحو سلاسل إمداد برمجية قابلة للتحقق، حيث تتطلب الأوامر الحكومية والمشترين في المؤسسات بالفعل مواد موقعة وقابلة للتتبع،” يقول. “ستكون الصور المعززة قريبًا نقطة البداية الافتراضية لأي نظام من الدرجة الإنتاجية.”

بفضل الصيانة المركزة على الأمان، يمكن للمطورين اعتبار الصور المعززة كأساس آمن لعملية البناء الخاصة بهم، كما يقول جاين. مثل الخدمات الأخرى، تهدف CleanStart إلى تحقيق ثغرات معروفة قريبة من الصفر وترى أيضًا انخفاضًا بنسبة 60% إلى 80% في حجم الشيفرة نتيجة لعملية التعزيز.

لسوء الحظ، لا تمتلك العديد من فرق التطوير النضج التشغيلي للحفاظ على وبناء حاويات معززة، كما يقول بن بريارد، مدير المنتج الرئيسي في Red Hat.

“تجد الشركات التي تسعى إلى تحقيق ‘صفر ثغرات معروفة’ في مجال الحاويات أن عملياتها حول اختبار ونشر التطبيقات هي عنق الزجاجة،” كما يقول. “بشكل عام، كان اعتماد التكامل المستمر أكثر سلاسة ولديه مزيد من الزخم مقارنة بالنشر المستمر.”

يجب أن تركز الأنظمة البيئية على الصور المعززة

نصيحة واحدة ثابتة للشركات: يجب أن تستند كل تطبيق جديد معبأ إلى صور معززة. بينما قد تستغرق عملية التطوير وقتًا أطول للتكيف مع النظام البيئي البرمجي الأكثر رشاقة، فإن فوائد الأمان كبيرة جدًا بحيث لا يمكن تجاهلها.

ذات صلة: هل تجتاز مراجعات أمان كود كلود اختبار الاهتزاز؟

تحتاج خطوط تطوير البرمجيات أيضًا إلى أتمتة التحديث والنشر لمواكبة أحدث الإصلاحات. بالإضافة إلى ذلك، تحتاج الشركات إلى الانتباه إلى سلسلة الإمداد لأن التحديث لأحد المكونات قد لا يتم تضمينه في الصور المتدفقة، كما يقول بريارد.

“لا يهم إذا كانت التغييرات في المصدر إذا لم تتضمنها حاويتك المتدفقة،” كما يقول. “لذا، ليس عليك فقط الاعتماد على نظام بيئي للصور يدفع التحديثات بشكل متكرر، ولكنك تحتاج أيضًا إلى آلية لاستيعاب هذه التحديثات بشكل مستمر – إن لم يكن باستمرار.”

بينما تدفع Red Hat التحديثات بشكل متكرر، قد لا يرى المطورون تلك التغييرات حتى يعيد مدراء الحزم بناء صورهم، كما يقول.

في النهاية، قد تنتهي خدمات الصور المعززة إلى استبدال الكثير من خط أنابيب البنية التحتية السحابية الحالي للمنظمة لأن مزودي الخدمة يقومون بعملية التعزيز نيابة عنهم، كما يقول دونوفان من Docker.

“تحدثنا إلى العديد من العملاء الذين يغلقون خطوط أنابيب التكامل المستمر لأننا نقوم بذلك من أجلهم الآن،” كما يقول. “نحن نتعامل ليس فقط مع بناء الصورة، ولكن أيضًا مع مراقبة الثغرات المعروفة والتحديثات في المصدر، ثم إعادة بناء صورتهم المخصصة وتسليمها إليهم تمامًا كما نفعل مع صورتنا المعززة القياسية الجاهزة.”

مع تزايد الاعتماد على الحاويات، يصبح من الضروري أن تتبنى الشركات الصور المعززة لضمان أمان تطبيقاتها وامتثالها للمعايير.