پنجشنبه, ۹ فروردین, ۱۴۰۳ / 28 March, 2024
مجله ویستا

حمله open source ها و عقب گرد برنامه نویسان


حمله open source ها و عقب گرد برنامه نویسان
امروز و بعد از گذشت چندین و چند سال از ورود مبحث IT در ایران هنوز که هنوز است خدمات الکترونیکی شایسته ای از طریق وب سایتهای دولتی قابل ارائه به مخاطبین نیستند چرا که در بیشتر سایتهای دولتی از خدمات الکترونیک تنها در حد تعریف و یا چند لینک بسیار معمولی به چند فرم عادی چیز دیگری پیدا نمیکنید و در این میان خبر روزانه هک شدن سایتهای دولتی به موضوعی طبیعی تبدیل شده که خود نیز مانعی بزرگ در ابتدای ورود به مباحث خدمات الکترونیکی است!
شاید بعضی به این سخن خرده بگیرند اما با بررسی دو وب سایت معروف و جنجالی شهرهای الکترونیک ایران یعنی کیش و مشهد اگر دستی در آتش داشته باشید حتما شما نیز به همین نتیجه میرسید.
این مقاله قصد بررسی این دوطرح شکست خورده را ندارد بلکه بیشتر مصمم است توجه دولمترادان را به آفتی جلب کند که جدیدا مانند خوره ای به جان بسیاری از نهادهای دولتی و شرکتهای خصوصی افتاده و با پیروی از هم نسبت به راه اندازی پورتالهایی با استفاده از نرم افزارهای کدباز (Opensource) اقدام کرده اند.
● نرم افزار کد باز چیست ؟
به زبان ساده برای عموم نرم افزار های کد باز نرم افزارهایی هستند که هر شخصی به تمامی کدهای برنامه ، ساختار بانکهای اطلاعاتی ، معماری نرم افزاری و مسائل امنیتی آن دسترسی کامل داشته و میتواند به راحتی آن نرم افزار را از اینترنت دانلودکند. در حقیقت این نوع نرم افزارها حاصل همین دانلودها و ویرایش ها و تبدیل ها از سراسر جهان و توسط هزاران برنامه نویس با سلایق و دیدهای متفاوت است .یکی از علل کد باز شدن یک نرم افزار توسعه و بهینه سازی و گرفتن اشکالات و ایرادات آن و همچنین همکاری برنامه نویسان در یک پروژه است یعنی در حقیقت حاصل نوعی کار گروهی بوده و چه بسا دارای حفره های امنیتی بسیار زیاد و خطرناکی نیز باشد که برای عموم استفاده کنندگان و یا ویرایشگران آن قابل مشاهده است. به همین دلیل است که این گونه نرم افزارها به سرعت نسخه های جدیدی ارائه میدهند که معمولا بر طرف کننده حفره های امنیتی هستند
از طرفی استفاده بهینه و حرفه ای از این نوع نرم افزارها کار مشکل و تخصصی بوده و از توان هر کارشناس عادی بر نمی اید و اینگونه است که در این میان برخی از سایتهای استفاده کننده از این نوع کد ها بسیار زیبا و حرفه ای به نظر میرسند ( Tehran.ir Dotnetnuke) و برخی واقعا اسفناک ! (fa.nr-khr.ir dotnetnuke )
● استفاده از نرم افزارهای کد باز در سایتهای دولتی
شاید استفاده از نرم افزارهای کدباز برای سایتهایی که برنامه توسعه نداشته و اقدام به ارائه سرویسهای معمولی مانند دانلود , خبر , اطلاع رسانی و ... به بازدیدکنندگان خود مینمایند و یا برای آگاهی برنامه نویسان از متدها و روشهای روز برنامه نویسی میتواند مفید تلقی شود اما آیا نوع نرم افزارها مناسب نهادهای دولتی و سایتهای اداری نیز میباشند؟
البته بهتر است این موضوع را نیز در نظر بگیرید که بسیاری از ادارت دولتی خریدار این نوع نرم افزارها حتی نمیدانند که دارند یک نرم افزار کد باز رایگان را خریداری میکنند و با ترفندهای عجیب و غریب برخی شرکتهای خصوصی مانند نام گذاری بر روی پرتال کد باز , قدری دستکاری در سورس و تغییر رد پاها و ادعای کاملا بومی بودن آن و طراحی شده در شرکت خصوصی نسبت به فروش این نوع پورتالها به ادارت دولتی اقدام مینمایند و بعضا با ارقام گزافی سایتهایی که تنها زحمت ترجمه فایلهای زبان آنرا متحممل شده اند و شاید نهایتا اقدام به طراحی یک قالب گرافیکی برای آن نموده اند را به قیمت یک نرم افزار طراحی شده داخلی و بسا گرانتر از آن به مشتری عرضه میکنند.
این کار چه از لحاظ قانونی و چه از لحاظ شرعی مطمئنا دارای مشکل است اما در این نوشته به بررسی سایر مشکلات ناشی از این پدیده میپردازیم :
▪ از بین رفتن فرصتهای شغلی برای متخصصین داخلی
اولین ترکش این موضوع به سمت جمع کثیری از برنامه نویسان و فارغ التحصیلان داخلی روانه میشود
شاید برنامه نویسان در ابتدا از اینکه بدون زحمت یک نرم افزار کد باز را ترجمه و نصب میکنند خوشحال باشند اما در حقیقت و به طور غیر مستقیم ضرر اصلی این موضوع متوجه خود برنامه نویسان داخلی میشود .
با معمول شدن استفاده از اینگونه نرم افزارها به علت پیچیدگی ساختاری این نوع برنامه ها و عدم امکان بروزرسانی نرم افزار در صورت اعمال تغییرات زیاد، شرکتها تمایلی به توسعه خدمات و کد نویسی های جدید ندارند و طبعا نیاز به یک برنامه نویس یا تجزیه گر سیستم در شرکت احساس نمی شود ،حتی اگر برنامه نویسانی باشند که در این سیستم ها باقی بمانند به تدریج قدرت نو آوری و خلاقیتشان را از دست میدهند. فروشندگان این نوع نرم افزارها نیز با استخدام نیروهای غیر حرفه ای ( برای پرداخت حقوق کمتر و رهایی از بیمه ) کار خود را که تنها طراحی چند قالب گرافیکی برای پورتال است پیش میبرند و به تدریج کد نویسی و توسعه در این شرکتها و به تبع آن مشتریان آنها فراموش شده و باعث کساد شدن بازارمتخصصان واقعی it در کشور میشود.
متاسفانه برخی مدعی هستند که عدم حضور متخصصین IT داخلی مهمترین عامل روآوری به این نوع برنامه هاست اگربه فرض محال این موضوع صحت داشته باشد مطمئنا راه حل آن نادیده گرفتن پتانسیل نیروهای جوان داخل کشور نیست.
برخی از اساتید دانشگاه نیز به جای تشویق دانشحویان به تولید نرم افزار داخلی آنها را در حد ترجمه یک نرم افزار کد بازی خارجی محدود و همین را به عنوان پروژه پایان ترم از دانشجو میپذیرند.
▪ بروز نبودن نرم افزار و باگهای امنیتی
همواره یکی از مهمترین ادعاهای مخالفین استفاده از برنامه های رایگان کدباز بالا بودن احتمال هک شدن سایتها به علت دسترسی عموم به کد برنامه است . در این میان معمولا خریداران دولتی خبر از کد باز بودن نرم افزار خود نداشته و مطمئنا به دنبال بروز رسانی نرم افزار و نصب نسخه های جدید آن که برای مسائل امنیتی ارائه میشود نیستند و سایت آماده هک و نفوذ میشود و اینگونه است که هر ساله شاهد هک شدن ده ها سایت دولتی نیز میباشیم .
بررسی بر روی یازده نرم‌افزار محبوب اوپن‌سورس این گمان را بوجود آورد که سازمان‌ها و شرکت‌ها ریسک امنیتی استفاده از این برنامه‌ها را دست کم گرفته‌اند.
شرکت امنیتی Fortify با مطالعه بر روی نرم‌افزارهایی همچون JBoss و OpenCMS مشکلات امنیتی متعددی را مشاهده نمودند که عمدتاً بخاطر اشتباهات برنامه‌نویسان اوپن‌سورس ایجاد گردیده‌اند.
در بخشی از این گزارش آمده است: «توجه به نکات امنیتی در پروسه‌های برنامه‌نویسی اوپن‌سورس از اولویت پائینی برخوردار است.»
«با وجود این که برنامه‌های اوپن‌سورس در مورد توانائی‌های بالقوه خود برای رفع نیازهای سازمانی تبلیغات زیادی را انجام می‌دهند اما تعداد اندکی از آنها به نیازهای امنیتی سازمان‌ها توجه لازم و کافی را می‌نمایند.»
▪ از بین رفتن قدرت تجزیه تحلیل و خلاقیت :
شرکتهای فروشنده این نوع پرتالها ترجیح میدهد طوری قرار داد را تنظیم کند که تنها با استفاده از ماژولهای موجود در آن ( مانند خبر ، مقاله ، آلبوم تصاویر ، جداول اطلاعاتی و ... ) بتوان سایت را راه اندازی کرد . در این بین فاز اصلی پروژه هایIT که شناخت نیازها و تجزیه و تحلیل عملی و علمی برای خدمات رسانی به مخاطبان آن سازمان است در گیر و دار انعقاد یک قرار داد تک بعدی و یک نرم افزار از پیش تعیین شده فراموش میشودو هیچ راهکاری برای ورود به مباحث خدمات الکترونیکی در این نوع سیستمها دیده نمی شود.
ایجاد تغییرات و خصوصی سازی در چینین نرم افزارهای کد بازی بسیار پیچیده تر و زمان برتر از طراحی یک سایت اختصاصی برای یک اداره و یا نهاد دولتی است و به همین دلیل است که معمولا شرکتهای ارائه دهنده چنین نرم افزار هایی به هیچ وجه پیشنهادی برای توسعه و یا پیشرفت خدمات سایت ندارند و بعد از نصب این نرم افزار، ارتقاء آن به فراموشی سپرده میشود.
اگر بخواهیم گشت و گذاری هر چند کوتاه به دنبال چینین سایتهایی بزنیم شاید بیشترین موارد استفاده را بتوان از نرم افزارهای کد باز mojoportal.net rainbow.net dotnetnuke.com نام برد که به طرز فراگیری در بسیاری از سایتهای دولتی به چشم میخورند برای دیدن نمونه هایی میتوانید به سایت شهرداری تهران – سایت شبکه رشد – سایت جزیره کیش -استانداری خراسان رضوی - دامپزشکی خراسان رضوی - کانون پرورش کودکان و نوجوانان و صدها نمونه دیگر که متاسفانه با حمایت نهادهای دولتی به طور فراگیری در حال رشد هستند مراجعه کنید .
● راهکار
نویسنده معتقد است استفاده از این نوع سیستمها را نمیتوان کلا نفی کرد و در بعضی موارد استفاده از این نوع نرم افزارها برای برخی سایتها ( با چشم پوشی از مسائل امنیتی ) به صرفه است
اما به شرط انکه با آگاهی کامل خریدار نسبت به رایگان بودن کد برنامه وذکر نام برنامه کد باز در قرارداد و تعیین قیمت منطقی برای خدماتی مانند نصب ، طراحی قالب و تعیین خدمات اضافه باشد .
علاوه بر این موارد و در صورت اصرار بر استفاده از این نوع سیستم ها چرا نباید پایه و اساس یک نرم افزار داخلی opensource چیده شود اما در خاتمه شاید بتوان با دعوت از نهادهای نظارتی برای کنترل اینگونه قراردادها قدری این بازار پرهیاهو را آرام کرد تا حداقل شبهه مغبون شدن خریداران دولتی و ضایع شدن حقوق شهروندان در این میان برداشته شود.
منبع : پایگاه اطلاع رسانی تخصصی فن‌آوری اطلاعات


همچنین مشاهده کنید