قاعدة بيانات الثغرات مفتوحة المصدر

قاعدة بيانات الثغرات مفتوحة المصدر (OSVDB) قاعدة بيانات مستقلة ومفتوحة المصدر تتعلق بالثغرات الأمنية.

هدف المشروع توفير معلومات تقنية دقيقة ومفصلة ومحدّثة وموضوعية حول الثغرات الأمنية. شجّع المشروع على زيادة التعاون المفتوح بين الشركات والأفراد.[1] شعار قاعدة البيانات "كل شيء معرض للثغرات".[2]

أساس قاعدة بيانات الثغرات مفتوحة المصدر تهدف إلى تقديم قاعدة بيانات علائقية متكاملة، تربط بين مصادر متنوعة من المعلومات حول الثغرات الأمنية، لتكون مرجعًا مشتركًا مفتوح المصدر يتقاطع مع مختلف الجهات والمجالات الأمنية. اعتبارًا من ديسمبر 2013، تضمنت قاعدة البيانات ما يزيد عن 100,000 ثغرة أمنية.[3]

ورغم أن الإدارة كانت تتم بواسطة منظمة غير ربحية معتمدة 501(c)(3) ومتطوعين، إلا أن شروط استخدامها كانت تقضي بعدم استغلال البيانات تجاريًا دون ترخيص. ومع ذلك، قامت العديد من الشركات التجارية الكبرى باستخدام بيانات القاعدة دون الالتزام بهذه الشروط، مما أدى إلى انتهاك شروط الترخيص. لم تساهم هذه الشركات لا بتعويض مالي ولا بوقت تطوعي من موظفيها للمساعدة في تطوير أو صيانة المشروع.[4]

تاريخ

[عدل]

انطلق المشروع في أغسطس 2002 خلال مؤتمري بلاك هات وديف كون، بمبادرة من عدة شخصيات بارزة في مجال أمن المعلومات، منهم اتش دي مور وراين.فورست.بوبي وآخرون. تحت إدارة جديدة، تم إطلاق قاعدة البيانات رسميًا للعامة في 31 مارس 2004.[5]

كتبت النسخة الأولى من القاعدة بلغة PHP على يد Forrest Rae (المعروف بـ FBR)، وفي وقت لاحق، أعيدت برمجة الموقع بالكامل باستخدام إطار العمل Ruby on Rails بواسطة David Shettler، مما حسّن من كفاءة قاعدة البيانات وقابليتها للتطوير.

تأسست مؤسسة الأمان المفتوح (OSF) لضمان استمرارية دعم مشروع OSVDB وتطويره. وقد تولى قيادة المشروع عدة شخصيات بارزة، منهم جيك كونز (المعروف بـ Zel)، وكريس سولو، وكيلي تود (المعروف باسم Lyger)، وديفيد شيتلر (المعروف باسم D2D)، وبريان مارتن (المعروف باسم Jericho). شغل هؤلاء القادة أدوارًا رئيسية في إدارة OSF في أوقات مختلفة، مما ساهم في دعم المشروع وتوجيهه نحو تحقيق أهدافه.

في 5 أبريل 2016، أُغلِقت قاعدة بيانات OSVDB، مع استمرار بريان مارتن في تشغيل المدونة لفترة مؤقتة بعد الإغلاق.[6] جاء قرار الإغلاق نتيجة للاستغلال التجاري المستمر للبيانات من قِبل شركات الأمن دون تقديم تعويض مالي، حيث استفادت هذه الشركات من قاعدة البيانات دون المساهمة في تمويل المشروع أو دعمه، مما أدى إلى إنهاء العمل على قاعدة البيانات بشكل نهائي.[7]

اعتبارًا من يناير 2012، أصبحت شركة الأمن قائم على المخاطر (Risk Based Security) تتولى عملية إدخال الثغرات الأمنية في قاعدة بيانات OSVDB،[8] حيث خصصت موظفين بدوام كامل للقيام بهذا العمل كنوع من رد الجميل للمجتمع. شملت كل عملية إدخال للثغرات تفاصيل شاملة، مثل عنوان كامل للثغرة، وجدول زمني للإفصاح عنها، ووصف للثغرة، وحل (إن وُجد)، بالإضافة إلى بيانات تصنيفية، ومراجع، وأسماء المنتجات المتأثرة، والباحث الذي اكتشف الثغرة (المستفيد).

العمليات

[عدل]

في البداية، كانت الإفصاحات عن الثغرات الأمنية المنشورة في قوائم الأمان المختلفة والمواقع الإلكترونية تُدرج في قاعدة البيانات كإدخالات جديدة ضمن قائمة تُسمى قائمة إدارة البيانات الجديدة (New Data Mangler - NDM). احتوى الإدخال الجديد فقط على عنوان الثغرة وروابط تؤدي إلى الإفصاح عنها، دون أي وصف تفصيلي أو بيانات وصفية أخرى.

لاحقًا، ومع توفر الوقت، كان يتم تحليل هذه الإدخالات الجديدة وتحديثها بإضافة وصف للثغرة الأمنية والحل إن كان متاحًا. سُمي هذا النشاط العام باسم "تشويه البيانات"، أما الشخص المسؤول عن هذه المهمة فكان يُطلق عليه "المُشوّه". كان العمل في عملية التشويه يتم بواسطة متطوعين، بعضهم أساسيين والبعض الآخر غير منتظمين.

عند إضافة التفاصيل من قبل المتطوعين، كان المشرفون (وهم المتطوعون الأساسيون) يقومون بمراجعتها، حيث يقومون إما بتطوير الإدخال بشكل أفضل أو رفض التعديلات إذا كانت غير ملائمة. بعد الموافقة، تُتاح المعلومات الجديدة لأي شخص يتصفح الموقع، مما يتيح الاطلاع على التفاصيل المضافة.

المساهمون

[عدل]

بعض الأشخاص الرئيسيين الذين تطوعوا وقاموا بصيانة OSVDB :

  • جيك كونز (ضابط OSF، المنسق)
  • بريان مارتن المعروف أيضًا باسم جيريكو (ضابط OSF، المنسق)
  • كيلي تود المعروف أيضًا باسم لايجر (ضابط OSF، المنسق)
  • ديفيد شيتلر (ضابط OSF، مطور)
  • كريس سولو (المُضيف)
  • دانييل مولر (المُضيف)
  • فورست راي (المطور)
  • ستيف تورنيو (المُضيف)
  • زاك شو (المُضيف)
  • ألكسندر كورين المعروف أيضًا باسم ph0enix (مانجلر)
  • كارستن إيرام المعروف أيضًا باسم تشيب (مدير الحوار)
  • مارلو (مانجلر)
  • ترافيس شاك (مانجلر)
  • سوسام بال (مانجلر)
  • كريستيان سيفيرت (مانجلر)
  • زين ميمون

مراجع

[عدل]
  1. ^ Rosencrance, Linda (16 Apr 2004). "Brief: Vulnerability database goes live". Computerworld (بالإنجليزية). Retrieved 2020-08-15.
  2. ^ "Biased software vulnerability stats praising Microsoft were 101% misleading". مؤرشف من الأصل في 2020-05-20. اطلع عليه بتاريخ 2020-05-20.
  3. ^ "We hit the 100,000 mark…". 20 يناير 2014. اطلع عليه بتاريخ 2020-01-22.
  4. ^ "McAfee accused of McSlurping Open Source Vulnerability Database". www.theregister.com (بالإنجليزية). Archived from the original on 2021-07-12. Retrieved 2020-08-15.
  5. ^ Gold، Jon (7 أبريل 2016). "Open-source vulnerabilities database shuts down". Network World. مؤرشف من الأصل في 2020-07-01. اطلع عليه بتاريخ 2020-01-22.
  6. ^ "OSVDB: Fin". 5 أبريل 2016. مؤرشف من الأصل في 2016-05-28. اطلع عليه بتاريخ 2020-01-22.
  7. ^ Kovacs, Eduard. "McAfee Issues Response to OSVDB Accusations Regarding Data Scraping". softpedia (بالإنجليزية). Retrieved 2020-08-15.
  8. ^ "Homepage". RBS (بالإنجليزية الأمريكية). Archived from the original on 2020-07-15. Retrieved 2020-08-15.