به گفته آژانس ملی ارتقای صنعت فناوری اطلاعات کره، تقریباً هفتاد درصد از شرکت‌های کره جنوبی که در توسعه نرم‌افزار مشارکت دارند، از نرم‌افزار اوپن سورس یا منبع باز (OSS) استفاده می‌کنند. نرم‌افزار OSS به راحتی قابل دسترسی است و می‌تواند توسط کاربران در سراسر جهان از طریق پلتفرم‎های آنلاینی همچون GitHub مورد استفاده قرار بگیرد و توسعه‌دهندگان را قادر می‌سازد تا کد را ایجاد و توسعه بدهند، آن را مدیریت کنند و به اشتراک بگذارند. درحالی که نرم‌افزار OSS مزایای متعددی از مقرون به صرفه بودن گرفته تا قابلیت سفارشی سازی و انعطاف‌پذیری دارد، همچنین دارای معایب قابل توجهی است که شامل شیوع کدهای مخرب و آسیب‌پذیری‌های امنیتی است که می‌تواند به سرعت گسترش پیدا کنند.

استفاده جهانی از نرم‌افزارها OSS نه تنها در وب و در اپلیکیشن‌های مختلف بلکه در نرم‌افزارهای تعبیه شده در لوازم خانگی و تجهیزات مخابراتی نیز افزایش داشته است. با گسترش پذیرش آن، تهدیدات جدیدی برای محصولات دیجیتال و خدمات آنلاین ظهور کرده و در حال افزایش است. حوادث امنیت سایبری اکنون هر روزه رخ می‌دهند و زنجیره تأمین نرم‌افزار نیز هدف رایجی برای این حملات سایبری است. طبق نظرسنجی Global Digital Trust Insights در سال ۲۰۲۴ توسط PwC، نسبت شرکت‌هایی که با نقض اطلاعات بیش از یک میلیون دلار مواجه شده‌اند، نسبت به سال گذشته میلادی از ۲۷ درصد به ۳۶ درصد افزایش یافته است.

برای جلوگیری و دفاع در برابر حملات سایبری، تلاش‌های مختلفی انجام شده تا امنیت زنجیره تأمین نرم‌افزار به خصوص در ایالات متحده و اروپا افزایش پیدا کند. دولت آمریکا اعلام کرده که هر شرکتی که برای تأمین نرم‌افزار به یک آژانس فدرال قرارداد بسته است، باید فرمی برای تطبیق انطباق با شیوه‌های توسعه نرم‌افزاری ایمن را ارائه بدهد. به طور مشابه نیز اتحادیه اروپا لایحه‌ای را پیشنهاد کرده است که ارائه «لایحه مواد نرم‌افزار» (SBOM) را الزامی می‌کند. یک SBOM فهرستی جامع از اجزای موجود در یک منبع نرم‌افزاری است و به‌عنوان وسیله‌ای مؤثر برای افزایش امنیت زنجیره تأمین نرم‌افزار عمل می‌کند.

دولت کره نیز فعالانه به افزایش حملات سایبری پیشرفته‌ای پاسخ می‌دهد که زنجیره تأمین نرم‌افزار را هدف قرار می‌دهند. در اوایل سال جاری، کمیته دولتی پلتفرم دیجیتال کره، همراه با وزارت علوم و فناوری اطلاعات و سرویس اطلاعات ملی، «دستورالعمل‌های امنیتی زنجیره تأمین نرم‌افزار ۱» را ایجاد کردند.

این دستورالعمل‌ها حاوی اطلاعات دقیقی در مورد حداقل الزامات SBOM، معیارهای بازرسی آسیب‌پذیری امنیتی نرم‌افزار، استفاده از بسترهای آزمایشی و نحوه تعیین و استفاده از اجزای نرم‌افزار است. این دستورالعمل‌ها که برای استفاده و دنبال کردن آسان هستند، مواردی را نیز شامل می‌شوند که از طریق پروژه نمایشی سال گذشته برای کاربرد میدانی که توسط دولت کره سازماندهی شده بود، تأیید شدند.

شرکت‌های بزرگ از جمله ال‌جی الکترونیکس آسیب‌پذیری‌های امنیتی نرم‌افزار را با ابزارهای SBOM و روش‌های مدیریتی خود برطرف می‌کنند. در محیط کسب و کار امروزی، توسعه نرم‌افزار معمولاً شامل استفاده از OSS و یک سیستم مشترک شامل چندین شرکت شریک می‌شود. برای اطمینان از اینکه کل زنجیره تأمین نرم‌افزار ایمن است، بسیار مهم است که هر یک از شرکا نقش خودش را به خوبی ایفا کند و تمام اقدامات لازم را انجام بدهد و از همه ابزارهای موجود برای جلوگیری از نقض امنیتی استفاده کند.

به همین دلیل نیز ال‌جی با انتشار کد منبع FOSSLight ابزار توسعه یافته SBOM داخلی ال‌جی، به سایر شرکت‌ها کمک می‌کند تا به طور مؤثر SBOM را مدیریت کنند. ابزار FOSSLight می‌تواند یک قطعه خاص از OSS را به دقت شناسایی کند، آن را از نظر آسیب‌پذیری‌های امنیتی نظارت کند و هر گونه مجوز مرتبط را بازیابی کند. ابزار FOSSLight به‌عنوان یک پروژه مدیریت منبع باز از سیستم یکپارچه FOSSLight Hub بهره می‌برد که می‌تواند منبع باز را مدیریت کند و از FOSSLight Scanner نیز برای تجزیه و تحلیل منبع باز استفاده می‌کند.

تعهد ال‌جی به تضمین امنیت چیز جدیدی نیست. در نمایشگاه CES 2024، ویلیام چو مدیر عامل ال‌جی هوش مصنوعی را به‌عنوان هوش مهربان بازتعریف کرد و آرزوی این شرکت برای دنبال کردن هوش مسئولانه را به اشتراک گذاشت. سیستم LG Shield که سیستم امنیتی این شرکت مبتنی بر هوش مصنوعی است، قرار است در تمام جنبه‌های جمع‌آوری، ذخیره‌سازی و استفاده از داده‌های مشتری اعمال شود و همچنین برای محافظت از زنجیره تأمین نرم‌افزار استفاده خواهد شد.

در نهایت، SBOM توانایی سازمان را برای شناسایی و پاسخگویی به آسیب‌پذیری‌های امنیتی نرم‌افزار از قبل افزایش می‌دهد. SBOM علاوه بر جلوگیری از به خطر افتادن اطلاعات سازمانی، زیر ساخت دیجیتال و داده‌های مشتری، می‌تواند کیفیت کلی نرم‌افزار مورد استفاده شرکت‌ها را نیز بهبود ببخشد. علاوه بر این، به دلیل اینکه SBOM شفافیت بیشتری را در زنجیره تأمین نرم‌افزار ترویج می‌کند، انتظار می‌رود که SBOM نقش مهمی در تقویت قابلیت اطمینان در بازارهای خارج از کشور داشته باشد.

این تلاش به طور برجسته در میزگردی در انجمن جهانی OECD درباره امنیت دیجیتال برای رفاه در ماه ژوئیه به نمایش گذاشته شد. این پنل گفتگو با عنوان «نرم‌افزار منبع باز و راهکار آسیب‌پذیری» به چالش‌ها و راهکارهای خاص مربوط به آسیب‌پذیری‌های نرم‌افزار منبع باز پرداخت. این بحث نشان داد که چطور نرم‌افزارهای اختصاصی و منبع باز تحت تأثیر این واقعیت قرار می‌گیرند که افزایش پیچیدگی کد اغلب منجر به آسیب‌پذیری‌های بیشتری می‌شود. این جلسه کاوش عمیقی از جنبه‌های منحصربه‎‌فرد نرم‌افزار منبع باز و اکوسیستم آن در پرداختن به این مشکلات ارائه کرد.

در آینده، ما امیدواریم که پذیرش SBOM در سراسر صنعت ICT افزایش پیدا کند و اکوسیستم OSS ایمن‌تر و شفاف‌تری را ایجاد کند که به نفع همه شرکت‌ها باشد.