اطمینان صفر به نرم افزار!

دیروز داشتم یک مقاله می‌خوندم که رسیدم به این مقاله و حمله repojacking! حمله ای که طبق ادعای یک مقاله دیگه میتونه بیش از ۷۰ هزار پروژه اپن سورس را تحت تاثیر قرار بده! واقعا وحشتناکه نه؟

البته نترسید! برای اینکه یک پروژه به این حمله آسیب پذیر باشه باید دو شرط اتفاق بیافته:

1. پروژه مستقیما از github کامپایل بشه یعنی توی کد لینک بشه به github
2. توسعه دهنده تصمیم بگیره نام کاربریش را تغییر بده یا حذف کنه

خب با شرط دوم اگر یکم روی شعور توسعه‌دهنده‌های کتابخانه ها حساب کنیم می‌تونیم بگیم خیلی هم اوضاع خراب نیست!

ولی واقعا دنیای امنیت نرم افزار دنیای عجیبیه! قدیما فکر می‌کردیم این نرم افزارها هستند که باگ دارند یا هک می‌شن ولی کتابخانه‌ها مرجع اطمینانمون بودند با ریپوزیتوری‌ها مشکلی نداشتیم و فکر می‌کردیم همین که repo ای که استفاده می‌کنیم sign شده و از هر repo ای استفاده نمی‌کنیم امنیت داریم! ولی این روزها وقتی از کتابخانه‌ها باگ می‌شه و از ریپوزیتوری npm و github و غیره نمی‌شه مطمئن بود واقعا داریم می‌رسیم به جایی که تئوری zero trust را قبول کنیم! خب حالا فرض کنید به هیچ کس اطمینان نکنیم! پس چه کار کنیم؟ کلا چرخ را از اول اختراع کنیم؟