تشكل صحة المجتمع وشفافيته مقاييسَ جيدة لأمن أي مشروع مفتوح المصدر.

يهدف الأمر التنفيذي الذي أصدرته إدارة الرئيس بايدن مؤخرًا حول الأمن الإلكتروني إلى تحسين الضمانة الأمنية واتباع أفضل الممارسات. فالشفافية وصحة المشروع هما عاملان يساعدان على دعم الأمن في صناعة البرمجيات برمتها — خصوصًا الآن.

 

أمن البرمجيات كلها الآن من أمن البرمجيات مفتوحة المصدر

ولأن ٩٢% من التطبيقات الحديثة تحتوي على مكونات مفتوحة المصدر، فإن تحسين أمن البرمجيات بشكل عام يعني تحسين أمن البرمجيات مفتوحة المصدر.

وفقًا للأمر التنفيذي الصادر عن بايدن:

”تنبغي أن تكون الثقة التي نضعها في بنيتنا التحتية الرقمية متناسبة مع مقدار جدارة تلك البنية التحتية بالثقة ومدى شفافيتها“.

تشكل الشفافية حجر الزاوية للضمانة الأمنية لأنها تساعد على ترسيخ الثقة والموثوقية في التكنولوجيا. ومن دون الشفافية، فإن الثقة والأمن يتلاشيان فعلًا. لذلك نجد أن واحدة من الطرق التي يمكننا من خلالها أن نساهم في تحسين الأمن هي أن نعزّز شفافية مشاريعنا.

وتسمح الشفافية الناتجة عن المصدر المفتوح أن نحصل على معلومات للمشروع تسمح للمستخدمين بأن يقيّموا صحته بطريقتين على الأقل:

  • التعاون العابر للمجتمع: يمثل التعاون بين الفريق والمجتمع عناصر مهمة لتحقيق معايير الأمن والخصوصية والسلامة دائمة التطور. ويعتبر الأمن عملية معقدة تنطوي على فرق متعددة في مؤسسة واحدة بأكملها ومؤسسات متعددة (أي العابر للمجتمعات)، والناتج عن طبيعة المصدر المفتوح المبينى على التعاون.
     
  • الإفصاح للعامة: تمكّن الشفافية أيضًا المؤسسات من إنشاء وإصدار التقارير الأمنية العامة بسرعة لتحديد المخاطر ونقاط الضعف المحتملة.

 

كيف تقيس الشفافية لتحقق الضمانة الأمنية؟

ينبغي أن يكون المصدر المفتوح في جوهر كل مؤسسة حديثة ترغب بتحقيق مستوى عالٍ من الشفافية. ولكن الشفافية تتطلب أكثر من السماح ببساطة بالنفاذ إلى الشيفرة أو المنتجات أو التصاميم أو الخدمات أو واجهات برمجة التطبيقات. فالشفافية عبارة عن التزام بالوضوح الشامل.

تطوّر المصدر المفتوح ليصبح نظامًا بيئيًا معقدًا من المشاريع والمؤسسات بأنواع مختلفة من العلاقات. وتمكّنت مكاتب البرامج مفتوحة المصدر الشركات والمؤسسات العامة والحكومات وغيرها من المنظمات من البقاء على اطلاع على حجم وصحة أنظمتها البيئية للمصدر المفتوح، فهي لا تهتم بالمشاريع التي تستخدمها المؤسسة فحسب، بل تهتم أيضًا بالمشاريع التي تصدرها أو تساهم بها.

يمكن قياس الشفافية في بيئة أنظمة المصدر المفتوح عن طريق تقييم الأجوبة على الأسئلة التالية عن صحة المجتمع:

  • كم شخص يلزمك للحفاظ على استدامة المشروع؟ يعتبر ما يسمى «معامل الباص» طريقة لتحديد عدد المساهمين الذي يمكن لمشروع أن يخسرهم قبل أن يتوقّف كليًا. ويحتسب المقياس (والذي يفترض ما يمكن حدوثه لو تعرض عدد من مساهمي المشروع للدهس بحافلة) أقل عدد من الناس، الذين يشكلون ٥٠% من المساهمات، وستعرف الإجابة.
     
  • من هم المطورون الأساسيون؟ وأما نموذج البصل فهو آلية لتحديد أكثر المطورين التزامًا والمطورين الذين يعتمد عليهم المشروع بشكل أكبر.
     
  • ما هي المؤسسات المنخرطة في عملية تطوير البرمجيات؟ بالإضافة إلى تحليل عدد الشركات التي يبدي موظفوها التزامًا أو إشكاليات أو مساهمات بالشيفرة، يحدد معامل الفيل الحد الأدنى من الشركات التي تقوم بما يمثل نصف العمل.
     
  • هل للبرمجيات شهادات أمنية؟ تدل حيازة شهادات أمنية معروفة حق المعرفة، مثل شارة أفضل ممارسات مبادرة البنية التحتية الجوهرية (بالإنكليزية: Core Infrastructure Initiative (CII) Best Practices Badge) على أن المشاريع مفتوحة المصدر تتبع أفضل الممارسات وتلبي معايير الشهادة المطلوبة.
     
  • ما مدى نشاط المجتمع؟ وهناك طرق مختلفة لتقييم ما إذا كان المجتمع نشطًا. وإحدى هذه الطرق متمثلة في النظر إلى سرعة رد فعل المجتمع، بما في ذلك مدى سرعة حل الإشكاليات مقابل عدد الإشكاليات التي يتم تجاهلها.
     

تشكل معظم هذه الأسئلة جزءًا من تعريف مقاييس البرمجيات مفتوحة المصدر لتحليل صحة المجتمع (بالإنكليزية: CHAOSS Metrics). ويعتبر ذلك مشروعًا لمؤسسة لينوكس يركز على إنشاء مجموعة قياسية من المقاييس والبرمجيات للمساعدة في تعريف صحة مجتمع المصدر المفتوح. وتسهل أداة «GrimoireLab» الناتجة عن هذا المشروع تحليل القياسات الصحية لمجتمعها وإعداد التقارير بها.

 

أفكار ختامية

سيطرت البرمجيات مفتوحة المصدر على العالم منذ وقت طويل. ويعتبر الأمر التنفيذي الجديد الصادر عن إدارة بايدن سببًا آخرًا للتعامل مع النظام البيئي للمصدر المفتوح بجدية، حيث تعتمد كل من الجهات العامة والشركات الخاصة عليه. ولكن ابتكار المصدر المفتوح لديه قياس فريد من نوعه لا يتبع عمليات الأعمال التقليدية. وينطوي استخدام المصدر المفتوح على الاستثمار في مكاتب البرامج مفتوحة المصدر وقياس الشفافية عبر النظر إلى صحة المشروع بناء على نشاطه لتحقيق الضمان الأمني المطلوب.

 

تمت إعادة نشر هذا المقال من موقع https://opensource.com  وفقًا لرخصة المشاع الإبداعي - Creative Commons، للإطلاع على المقال الأصلي