"אנחנו לא מחכים שהמלחמה תגיע אלינו, אנחנו יוצאים למלחמה יזומה"

"חברות כיום, ולא משנה מאיזו תעשייה ומה עיסוקן, מפתחות אפליקציות. ההערכה היא שב-2019 הוציא כלל המשק כ-2 טריליון דולרים לטובת פיתוח אפליקציות. כל ארגון כיום הוא גם חברת תכנות, אם רוצים או לא, ובהתאם – כולם רוצים להשיק יישומים ותכונות חדשות בדרך מהירה יותר, וכדי לעשות זאת הם משתמשים בספריות קוד. וכאן מתחילה הבעיה: קוד פתוח גם יכול להיות מלכודת אם לא בודקים אותו", כך אמר אלחננדרו אסטרדה גמבואה, מנהל מכירות אזורי של חברת סונוטייפ בראיון לאנשים ומחשבים.

סונוטייפ מיוצגת בישראל בידי קבוצת הקוד הפתוח בחטיבת מוצרי התוכנה של מטריקס, וגמבואה הגיע לארץ לכמה ישיבות ולקידום המוצר, שמטרתו לסייע לאותן חברות המרבות להשתמש בקוד פתוח בפיתו המוצרים שלהן, ובעקבות כך עשויות לגרום לפגיעויות במוצרים הסופיים באופן לא מודע.

"המפתחים כיום כמעט ולא מפתחים הכל", אמר גמבואה, "אלא מנצלים כמה שאפשר ספריות שניתן להוריד מאתרי הפצה פתוחים. זה נהדר, כי מפתחים הרבה יותר מהר, ורק בשביל להבין, מדובר במאות מיליארדים של הורדות וכנראה אפילו הרבה יותר, והגידול הוא מעריכי כמעט. במציאות, כאמור זה נהדר, אבל האתגר הוא שרבות מבין הספריות שמורידים מכילות פגיעויות".

ומה זה רבות?
"ההערכה, לדוגמה, שבאקו-סיסטם של ג'אווה מדובר בערך ב-10% מהספריות המוצעות. באקו-סיסטם אחרים, ג'אווה סקריפט, למשל, האחוזים גבוהים הרבה יותר. יוצא מכך, שהחברות משתמשות בכמות מסיבית של ספריות קוד פתוח שמכילות פגיעויות שהן אפילו לא מודעים אליהן".

אבל הן לא אמורות לבדוק את זה?
"הפרקטיקה אומרת שבודקים היטב שאין פגיעויות אבטחה בקוד שמפתחים בחברה, אבל הן מתמקדות רק בליבה, הן לא בודקות את ספריות הקוד פתוח – אולי גם בגלל שהן לא חושבות על כך מספיק. הן בודקות היטב את מה שהעובדים שלהן מייצרים, אבל מצד שני לא ממש מתייחסות למשהו שיכול להיות שפותח בחניה של מישהו – וזה יכול לגרום, וכמובן גם גרם, לכך שהאקרים הצליחו לנצל פגיעויות כדי לגנוב מידע ולגרום נזקים וגדולים".

וכיצד האקרים מצליחים ללמוד היכן הפגיעויות?
"אנחנו עוקבים אחרי מה שקורה באקו-סיסטם של הקוד הפתוח, ואנחנו רואים שהאקרים יותר ויותר מודעים לשימוש בספריות קוד פתוח, והם מתחילים לנצל זאת. במקום לתקוף חברות ישירות, והרי בסופו של דבר לרוב החברות יש הגנות היקפיות טובות מאוד בהשקעות של מאות מיליוני דולרים, והן מחנכות את העובדים לא לפתוח מיילים חשודים ולא ללחוץ על קישורים מיותרים וכדומה, הם מנצלים את העובדה שהחברות בסופו של דבר פותחות את הדלת על ידי שימוש בספריות הקוד הפתוח בלי בדיקה מספקת".

אבל כדי לעשות את זה הם צריכים להיות בפנים.
"והם בפנים. הם מצטרפים לפרויקטים של קוד פתוח, מספרים שהם רוצים לתרום קוד, וכשהם מקבלים את האור הירוק מהמנהל או הבעלים של הפרויקט, הם משלבים קוד מרושע, ובכוונה, כמובן, ואז הם מחכים שחברה תוריד את זה ומיד מנצלים את זה".

אני שומע את מה שאתה אומר ושואל את עצמי, אז למה להשתמש בקוד פתוח?
"אז אתה נופל לסיטואציה אחרת, שבה אחת צריך לפתח הכל, ואחד ההיבטים היום של השוק הוא פיתוח מהיר, ואתה פשוט לא תעמוד בזה, אתה תאבד את כל מה שהשגת מול המתחרים שלך".

אז זה מצב של הפסד הפסד?
"זה בדיוק מה שסונוטייפ מציעה למנוע. אנחנו מאפשרים לחברות לשלב את בסיס הנתונים הענק שלנו במחזור הפיתוח של האפליקציות שלהם, ולקבל משוב מידי, מעודכן ומדויק על כל ספריית קוד פתוח שהם רוצים להשתמש בה. כל חברה יכולה להגדיר מדיניות אבטחה, שקובעת מהו סיכון מתקבל על הדעת, ובהתאם לכך – ברגע שמורידים ספרייה המערכת בודקת האם יש חריגה מהכללים שנקבעו ומוציאה אזהרה אם יש צורך".

אז זו עוד שכבת הגנה כמו אנטי וירוס?
"לא, ממש לא, כי זה עוד בשלב תחילת הפיתוח עצמו. הספריות הללו הן אבני הבנייה של הפיתוח, הרכיבים, והפילוסופיה שלנו היא להבטיח שמפתחי תוכנה ישתמשו בחלקים הטובים ביותר, ואם נתקלים ברכיבים לא טובים לזהות את זה ממש בהתחלת הפיתוח. תיקון ייקח לך פי 25 יותר זמן מאשר אם תבדוק היטב בשלבים המוקדמים ולא תחכה עד ליישום בפועל".

מה זה אומר בפועל?
"אנחנו לא מחכים שהמלחמה תגיע אלינו, אנחנו יוצאים למלחמה יזומה. אנחנו סורקים באופן פרואקטיבי מקורות מידע, כ-200 מיליון פרויקטים ביום, מחפשים שינויים ופגיעויות אפשרויות, ואז אנחנו מעדכנים את בסיס הנתונים שלנו כמה פעמים ביום, וזה מה שאנחנו מספקים ללקוחות, עם דיווח כמעט בזמן אמת".