في اخر تطورات اخبار Github، شهدت المنصة انتقال بعد حملة اختراقات الكترونية لمنصات مثل SolarWinds، التي أدخل فيها المخترقين الروس تحديثات تحتوي على فيروسات إلى منصة إدارة تكنولوجيا المعلومات، سلطت سلسلة من اختراقات البرمجيات مزيدًا من الضوء على الضرورة الحاسمة لتأمين هذه المنصات التي تحفظ نسخ البرمجيات مفتوحة المصدر.
اخبار Github
المشكلة الاساسية هي أكثر حدة في المشاريع مفتوحة المصدر، حيث تكون المشاريع في الأساس لامركزية وفي بعض الأحيان مخصصة. بعد سلسلة من الانتهاكات المتعلقة بحزم برامج جافا سكربت التي تم تنزيلها على نطاق واسع من منصة GitHub ومدير الحزم الشهير "npm"، أعلنت شركة Github عن اقتراح هذا الأسبوع لتوفير حماية أمان إضافية لمشاريع مفتوحة المصدر.
كشفت شركة GitHub، المملوكة لشركة مايكروسوفت (Microsoft)، عن خطط للسماح بتوقيع الكود وهو نوع من ختم رقمي لحزم برامج npm عبر منصة توقيع الرموز Sigstore. نشأت الأداة في التعاون من أجل تسهيل الأمر على مشرفين المشاريع مفتوحة المصدر للتحقق من أن الكود الذي ينشئونه هو نفس الكود الذي ينتهي به المطاف في حزم البرامج التي تم تنزيلها بواسطة المستخدمين في جميع أنحاء العالم.
في اخر اخبار Github, صرح جاستن هاتشينج مدير إدارة المنتجات في شركة كيت هاب (GitHub) قائلاً: "على الرغم من أن معظم حزم npm مفتوحة المصدر، فلا يوجد ضمان حاليًا بأن الحزمة على npm يتم إنشاؤها من نفس كود المصدر الذي تم نشره من المطور. أصبحت الهجمات كثيرة جدا وحادة . لكن إضافة بيانات تعريف إنشاء موقعة إلى هذه الحرذم التي تكون مفتوحة المصدر تؤكد من أين نشأ وكيف تم تطويره، يتعتبر هذه الخطة استراتيجية ممتازة لتقليل شدة الهجمات."
يؤكد دان لورينك الرئيس التنفيذي لشركة Chainguard على أنه منصة GitHub ليست المكون الوحيد لنظام مشاريع مفتوحة المصدر، لكن هي منصة مهمة للمجتمع نظراً لأنها تخزن وتنشر الغالبية العظمى من المشاريع الخاصة بالشركات الكبيرة. عندما يرغب المطورون في الحصول على برامج أو أدوات مفتوحة المصدر، فإنهم عادةً ما يستخدمون هذه المنصة.
تعاونت مؤسسة لينكس (Linux Foundation) و جوجل (Google) و ريدهات (Red Hat) لإنشاء Sigstore. يدعم Kubernetes الآن تطوير برمجيات مفتوحة المصدر وتتوفر أداة رسمية لتوقيع توزيعات حزم بايثون مع Sigstore.
في اخر اخبار Github يقول مدير منتجات الشركة: "نحن نريد أن نتخيل عالم يتم فيه توقيع جميع البرامج في النهاية وربطها مرة أخرى بكود المصدر. هذا هو السبب في أنه من الأهمية البناء على منصة تكنولوجية مفتوحة مثل Sigstore والتي قد تستخدم مستودعات الحزم الأخرى."