קוד פתוח

תוכנות קוד-פתוח יתומות מייצרות סיכונים חמורים

פורסם בתאריך ע"י Techtime

השילוב של תוכנות קוד פתוח בתוך יישומי תוכנה מסחריים מקל מאוד על תהליך פיתוח התוכנות ומקצר אותו משמעותית. אולם מחקר חדש שבוצע על-ידי צוות Black Duck של חברת סינופסיס (Synopsys) מגלה שליתרונות האלה יש מחיר כבד מאוד, שרוב המשתמשים אינם מודעים לו. הצוות בדק 1,500 יישומי תוכנה מכל התעשיות, וגילה שבכולם יש מודולים שפותחו מחוץ לחברה על-ידי קבוצות מתכנתים שעבדו במתכונת של קוד פתוח. הבעיה נעוצה בכך שרבים מהם לא עומדים בתקני הבטיחות הנדרשים.

חמור מכך, במקרים רבים מדובר במודולים שפותחו בעבר והמפתחים המתנדבים הפסיקו לתמוך בהם – אלה מודולים שלא מקבלים עדכונים ולכן הופכים לבעיית אבטחה ראשונה במעלה. תוצאות המחקר פורסמו על ידי סינופסיס במסגרת הדו"ח 2021 Open Source Security and Risk Analysis, הניתן להורדה בחינם. הצוות גילה סיכוני אבטחה הנובעים מקוד פתוח בכ-95% מכל תוכנות השיווק (CRM). בתחום הבריאות, נמצאו מודולי קוד פתוח ב-98% מהתוכנות, כאשר ב-67% מהם התגלו חולשות אבטחה.

התופעה חוזרת על עצמה בתעשיות רבות. כך למשל, מודולי קוד פתוח נמצאו ב-97% מהתוכנות המספקות שירותים פיננסיים, כאשר ב-60% מהמודולים אותרו חולשות אבטחה. בתחום המסחר האלקטרוני, 92% מהיישומים משתמשים במודולי קוד פתוח שכ-71% מהם מהווים סיכון אבטחתי. אנליסט האבטחה של חברת סינופסיס, טים מייקי, אמר שיותר מ-90% ממודולי הקוד הפתוח, הם מודולים שהתמיכה בהם הופסקה לפני יותר משנתיים.

 

החברות צריכות להשקיע בפרוייקטי קוד פתוח

זהו נתון מדהים. מייקי: "בניגוד לתוכנה מסחרית שבה היצרנים יכולים לדחוף עדכונים למשתמשים, תוכנות הקוד הפתוח תלויות במעורבות אקטיבית של המשתמשים. וכאשר הם לא מעורבים בשימור הקוד הפתוח, התרומה שלו דועכת עם הזמן. התופעה של פרוייקטי קוד פתוח 'יתומים' אינה הבעיה היחידה, אולם כאשר היא מופיעה, ההתמודדות עם בעיות אבטחה נעשית קשה יותר.

"הפתרון לבעיה הוא פשוט מאוד: החברות צריכות להשקיע בפרוייקטי הקוד הפתוח שהתוכנות שלהן נשענות עליהם, כדי להבטיח שהם נשארים פעילים". להערכת עורכי הסקר, הבעיה מחמירה: בשנת 2020 אותרו בעיות אבטחה ב-84% מכל מודולי הקוד הפתוח ששולבו בתוכנות מסחריות. מדובר בעלייה של 9% בהשוואה לשנת 2019. במקביל, שיעור המודולים שבהם מדובר בבעיית אבטחה מסוכנת מאוד צמח מ-49% בשנת 2019 לכ-60% בשנת 2020.

חברת סינופסיס תקיים בשבוע הבא סמינר המציג את ממצאי המחקר והדרכים להתמודד עם התופעה.

למידע נוסף: Open Source Trends, Risks & Management

אנבידיה רוכשת את השותפה האסטרטגית של מלאנוקס

פורסם בתאריך ע"י Techtime

חברת אנבידיה ממשיכה ביישום המהלך האסטרטגי של בניית פתרון כולל למרכזי נתונים ותשתיות ענן, שהמרכיב העיקרי שלו היה רכישת חברת מלאנוקס הישראלית המספקת מתגי קישוריות למרכזי המיחשוב. היום (ג') היא הודיעה על רכישת חברת Cumulus Networks מקליפורניה, המספקת תוכנות קוד פתוח וניהול התקשורת במרכזי מיחשוב גדולים. מטרת העיסקה היא לספק פתרון משולב: המחשבים של אנבידיה, מתגי הקישורשל מלאנוקס ותוכנות הניהול של קומולוס.

ההיסטוריה של קומולוס קשורה הדוקות לזו של מלאנוקס. החברה הוקמה בשנת 2010 כדי לפתח מערכת מבוססת לינוקס לניהול התקשורת במרכזי מידע. אלא שבאותה תקופה רוב התוכנות סופקו על-ידי יצרניות ציוד התקשורת, אשר אשר יצרו קשר הדוק בין החומרה שלהן ובין התוכנות הקנייניות שלהן. השינוי המהותי בתחום התחולל בשנת 2013, כאשר מלאנוקס הכריזה על אסטרטגיית Open Ethernet, במטרה לפרוץ את תקרת הזכוכית ולהגיע אל לקוחות שכבר היו ברשותם מתגים של המתחרים.

הקוד הפתוח של מלאנוקס יצר פרדיגמה חדשה

עד אז התמקדה תנועת הקוד הפתוח (Open Source) בעיקר בתחומי המחשוב המסורתיים כמו מערכות הפעלה (לינוקס), תקנים בינלאומיים ויישומי קוד-פתוח מובהקים כמו דפדפנים, מעבדי תמלילים ועוד. המטרה של מלאנוקס היתה ליזום תנועת קוד-פתוח גם בסביבת מרכזי הנתונים. היא אפילו העניקה לה את השם Generation of Open Ethernet.

נשיא ומנכ"ל מלאנוקס, איל וולדמן, הצהיר שבזכות האיתרנט הפתוח, "המשתמשים ישיגו שליטה על הרשתות ובסיסי הנתונים שלהם, והלקוחות שלנו יוכלו לפתח יישומים ייחודיים לתשתיות שלהם". היוזמה הגיעה ברגע הנכון, מכיוון שבאותה תקופה החלה התעשייה לאמץ בהתלהבות את הרעיון של רשתות מוגדרות-תוכנה (Software Defined Networks) והתקבל התקן OpenFlow Switch, אשר מפריד בין ערוץ הנתונים לבין ערוץ הבקרה ברשת.

קומולוס נמצאת במתגים של מלאנוקס

בשנת 2016 הכריזה מלאנוקס על שיתוף פעולה עם קומולוס ומאותה השנה הן השיקו פתרונות משולבים, הכוללים את המתגים של מלאנוקס ואת התוכנות של קומולוס. מאז ממשיכה קומולוס לעדכן את התוכנות שלה ומתאימה אותן לשבבים של מלאנוקס. כך למשל, כאשר בסוף 2019 הכריזה מלאנוקס על שבב המתג החדש Spectrum-2, השיקה חברת קומולוס גרסאות חדשות של תוכנת  Cumulus Linux ושל תוכנת NetQ, שעברו אופטימיזציה לתמיכה בשבב.

כיום מותקנת תוכנת קומולוס במרכזי המיחשוב של כ-2,000 ארגונים גדולים. בהודעה על העיסקה, מסרה אנבידיה: "סביבת ONIE – Open Network Install Environment של קומולוס משמשת כיום כתשתית תוכנה מרכזית המותקנת במתגי החומרה של מלאנוקס". חברת אנבידיה לא מסרה מהו היקף העיסקה ומתי היא צפויה להסתיים.

IEEE SA השיק סביבת פיתוח חינמית במתכונת של קוד פתוח

פורסם בתאריך ע"י Techtime

איגוד התקינה IEEE SA הפועל במסגרת איגוד המהנדסים הבינלאומי IEEE, השיק במהלך בפגישת ההנהלה העולמית שהתקיימה לפני כשבוע בישראל, את סביבת פיתוח התוכנה במתכונת קוד פתוח, IEEE SA Open Source. הסביבה מנוהלת על-גבי הענן של IEEE ופותחה בשיתוף פעולה עם GitLab. היא מספקת מערך מותאם של סביבת GitLab לפיתוח שיתופי של תוכנות, כולל גישה אחודה לניהול התשתית, שליטה ובקרה על פהיתוח הקהילתי וארגז כלים לתכנון שיתופי, ניהול ותקשורת בתוך הצוות.

עם השקת המערכת, החליט הארגון שבמשך כל השנה הקרובה, הפלטפורמה תהיה זמינה לשימוש חינמי על-ידי חברות סטארט-אפ. בראיון ל-Techtime, הסביר נשיא IEEE SA, רוברט פיש (בתמונה למעלה), שהארגון מספק את שירות הארוח של המערכת, ושלצד החברות, גם ארגון IEEE עצמו משתמש בה במסגרת פיתוח תקנים חדשים שהוא מגדיר.

"פיתחנו את המערכת בשנה וחצי האחרונות, ובדקנו אותה על-גבי מספר קבוצות הגדרת תקנים הפועלות במסגרת IEEE. בשנה האחרונה אנחנו מנהלים בעזרתה 14 פרוייקטים שונים, החל מנושאים כמו VHDL וכלה בתחומי תוכנה מובהקים". מבחינת הארגון, הוא מאמין שהפלטפורמה תייעל את תהליך ההגדרה והפיתוח של תקנים חדשים. מבחינת חברות הסטארט-אפ, מערכת IEEE SA Open Source מקילה על פיתוח תוכנות העומדות בתקני IEEE.

פיש: "בששת החודשים הקרובים נלמד כיצד אנשים משתמשים בה ואיך היא מסייעת להם". זה היה מפגש יוצא דופן, שכן לראשונה התכנס חבר הנאמנים של הארגון בישראל. במהלך המפגש, הם ביקרו במשרד התקשורת, בחברת מובילאיי וקיימו דיון על חיזוק הקשר עם ישראל, בה יש לארגון כ-1,000 חברים. פיש: "אנחנו גוף גלובלי וזה הפעם הראשונה שההנהלה החליטה לקיים בישראל את המפגש השנתי שלה. ישראל מייצגת כלכלה של חדשנות טכנולוגית, ואנחנו רוצים לתמוך בה ולחזק את הקשר איתה".

טקס ההתבגרות של מעבד הקוד הפתוח RISC-V

פורסם בתאריך ע"י Techtime

השבוע מתקיים ארוע יוצא דופן בשוק השבבים: שלשום נפתחה בסנטה קלרה, קליפורניה, הוועידה השנתית הראשונה של ארגון RISC-V, אשר מקדם את המעבד החופשי שופתח באוניברסיטת ברקלי. רשימת החברות המשתתפות בכנס מגלה שמדובר כבר במהלך תעשייתי רחב היקף, ולא ביוזמה אקדמית משותפת: ווסטרן דיג'יטל, מיקרוסמי (הנמצאת בבעלות Microchip), קואלקום, NXP, לאטיס, RAMBUS, קוויק-לוג'יק, Andes הסינית ואפילו איגוד Linux Foundation.

האחרון הוא גוף חשוב מאוד אשר מייצג את המגמה: שבוע לפני הכנס דיווח איגוד הלינוקס על הסכם לשיתוף פעולה בין שני הארגונים, שמטרתו להעמיד לרשות משתמשי RISC-V את כל המשאבים של לינוקס ושל קהילת הקוד הפתוח שהיא מנהלת. בהתחשב בדמיון הרב בין תפישות העולם של שני הארגונים, ובדרך שבה הפכה לינוקס לתפועה מרכזית בתעשייה – שיתוף הפעולה מרמז על כניסה רחבת היקף של המעבד החופשי אל תעשיית השבבים.

קואליציית שבבי הקוד הפתוח

ארכיטקטורת RISC-V פותחה לפני כשמונה שנים באוניברסיטת ברקלי במתכונת של ממשק ISA שיכול להריץ מחשבים חזקים מאוד בביל אורך מילה של עד 128 סיביות. בשנת 2016 התעשייה החלה לאמץ את הרעיון והוקם ארגון התמיכה התעשייתי RISC-V Foundation, שנועד לקדם את השימוש בארכיטקטורת המחשוב החופשית.

כיום הארגון נתמך על-ידי כמה מהחברות החזקות בתעשייה, בהן: גוגל, HP, יבמ, אורקל, מיקרוסמי, לאטיס, אנבידיה, קואלקום, ווסטרן דיג'יטל, מארוול, מיקרון, NXP, סמסונג, וואווי, TSMC ועוד. גם התעשייה הישראלית מקדמת את מעבדי הקוד הפתוח. חברת מלאנוקס חברה בארגון במעמד של מייסד (founder), וחברת סיוה מהרצליה, שבעבר נכשלה ברכישת ארכיטקטורת MIPS, הצטרפה אליו במעמד של שותפה בכירה.

חברת מיקרוסמי חשפה בוועידה את ארכיטקטורת ה-SoC החדשה PolarFire, המיועדת לאשכולות מעבדים המנוהלים באמצעות לינוקס. הארכיטקטורה פותחה בשיתוף פעולה עם חברת SiFive, הנחשבת לחברה המובילה בפיתוח מסחרי של מעבדים מבוססי RISC-V, אשר הטמיעה בה את מעבד U54-MC מרובה הליבות שלה. היא כוללת מערך FPGA משובץ, זיכרון איתחול 128Kb flash ומערך איתחול מאובטח העומד בתקן צבאי. "זוהי פלטפורמה מיתכנתת שניתן להתאים אותה לכל צורך, היא מבוססת לינוקס ומיועדת למשימות זמן אמת", אמר מנכ"ל SiFive , נאביד שארוואמי.

השילוב של מערך FPGA משתלב במהלך תעשייתי נוסף: בחודש אוקטובר השנה הודיע ארגון RISC-V שהוא יפתח יישום חופשי לשימוש בכמעבד משובץ בתוך רכיבי FPGA. הדבר מאיים ישירות על חברת ARM אשר מוכרת תכנוני מעבדים (IP) שרבים מהם משובצים ברכיבי FPGA, ובתגובה היא הכריזה על שיתוף פעולה עם חברת Xilinx, שבמסגרתו היא תספק בחינם גרסאות מותאמות ל-FPGA של מעבדי Cortex-M, ללקוחות אשר ישבצו אותם בתוך הרכיבים של Xilinx.

היעד של ווסטרן דיג'יטל: מיליארד מעבדי RISC-V בשנה

הרעיון מתחיל להיכנס לשוק. חברת אנבידיה כבר התחילה להשתמש במעבדי RISC-V במספר מיקרו-בקרים, וחברת ווסטרן דיג'יטל (WD) הודיעה בתחילת השנה שבשנת 2019 או 2020 היא תוציא לשוק פתרונות איחסון המנוהלים באמצעות מעבדי RISC-V. אחת מהרצאות הפתיחה בפתיחת הפסגה שלשום היתה של הטכנולוג הראשי של WD, מרטין פינק, אשר דיווח על שלושה חידושי קוד פתוח של החברה, אשר נועדו לתמוך בצוות הפיתוח שלה של מעבדי RISC-V ואשר יועמדו גם לרשות קהילת הקוד הפתוח: החברה מתכננת להוציא לשוק קוד פתוח של מעבד RISC-V חדש, תקן OmniXtend לזיכרונות מטמון ברשתות איתרנט וערכת הפקודות הפתוחה SweRV Instruction Set Simulator, אשר יכולה לבצע סימולציות של RISC-V בתנאים שונים.

המאמצים האלה נעשים במסגרת יוזמה רחבה נועדה לשלב את המעבדים החדשים בתוך בקרי דיסקים. להערכת WD, היא תמכור דיסקים הכוללים מיליארדי מעבדי RISC-V בשנה. במסגרת זאת היא חשפה את מעבד RISC-V SweRV Core, הפועל באורך מילה של 32 סיביות ומאפשר ביצוע של מספר פקודות במקביל: הן נטענות ביחד למעבד ומובצעות מיידית. החברה דיווחה שהוא מגיע למהירות עבודה של 1.8Ghz כאשר הוא מיושם בטכנולוגיית CMOS בגיאומטריה של 28 ננומטר. ווסטרן דיג'יטל מתכננת להשתמש במעבדי SweRV במגוון תכנונים משובצים, בהם בקרי זכרונות פלאש ובקרים לכונני SSD. כל השפע הזה לא יישאר בידיה, ולדברי פינק, ווסטרן דיג'טל תעמיד אותו לרשותה של קהילת הקוד הפתוח.