پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
مهیمن از توسکا رونمایی کرد؛ محصولی بومی برای امنیت نرمافزار بدون توقف توسعه
در سومین روز نمایشگاه الکامپ ۱۴۰۴، در غرفه شرکت مهیمن از محصول جدید این شرکت با نام توسکا رونمایی شد؛ ابزاری برای کنترل و مدیریت آسیبپذیریها در سطح کد منبع. سمیه دولتنژاد، مدیر فنی واحد امنیت مهیمن، توضیح داد که توسکا فرایند تحلیل امنیتی ایستای نرمافزار را بهصورت جامع و یکپارچه پوشش میدهد و فرآیند شناسایی مشکلات امنیتی در کد منبع را خودکار کرده است. او تأکید کردکه توسکا تیمهای توسعه و امنیت را همگام کرده و با شناسایی زودهنگام آسیبپذیریها و مشکلات امنیتی کد، فرآیند امن سازی محصولات را تسریع میکند. عباس عسکری، مدیرعامل مهیمن، نیز با اشاره به برنامههای این شرکت در الکامپ گفت: «امسال با تمرکز بر ارائه چند محصول و سرویس جدید، بهویژه در حوزه امنیت، حضور پیدا کردهایم.»
ضرورت همگامسازی توسعه و امنیت در چرخه تولید نرمافزار
سمیه دولتنژاد، مدیر فنی واحد امنیت شرکت مهیمن، در مراسم رونمایی از جدیدترین محصول این شرکت با نام توسکا توضیح داد: «توسکا برای کنترل و مدیریت آسیبپذیریها در سطح کد منبع طراحی شده است. ورود هوش مصنوعی سرعت تولید محصولات نرمافزاری را افزایش داده، اما مهاجمان نیز همگام با این رشد پیشرفت کردهاند. همگام کردن امنیت و توسعه نرمافزار یکی از چالشهای اصلی است که باید به آن رسیدگی شود.»
او با اشاره به روند افزایشی آسیبپذیریها در پکیجهای نرمافزاری افزود: «توسکا فرایند امنیت نرمافزار را در مرحله پیادهسازی پوشش میدهد. این محصول چهار مرحله اصلی دارد: بررسی و اسکن پکیجها و کتابخانههای متن باز، شناسایی اطلاعات محرمانه در کد، تحلیل آسیبپذیریها در سطح کد و اسکن فایلهای پیکربندی زیرساخت. این مراحل بهصورت یکپارچه و اتوماتیک انجام میشوند و امنیت محصولات نرمافزاری را تا حد قابل توجهی تامین میکنند.»
دولتنژاد همچنین تأکید کرد که با توجه به سرعت بالای توسعه نرمافزار و افزایش تهدیدهای امنیتی، استفاده از راهکارهایی مانند توسکا که امنیت را از ابتدای چرخه تولید در نظر میگیرند، بیش از پیش ضروری است. او گفت: «هدف ما این است که فرایند توسعه و امنیت همگام شود تا آسیبپذیریها پیش از ورود محصول به محیط عملیاتی شناسایی و رفع شوند و محصولات نرمافزاری کشور با اطمینان بیشتری در دسترس کاربران قرار گیرند.»
به گفته مدیر فنی واحد امنیت شرکت مهیمن طبق بررسیهای انجام شده، در سال ۲۰۲۴ بیش از ۴۰ هزار آسیبپذیری جدید ثبت شده است، همچنین تعداد پکیجهای آلوده شناساییشده به ۷۰۴ هزار مورد رسیده و تنها بین سالهای ۲۰۲۳ و ۲۰۲۴، ۵۱۲ هزار پکیج آلوده جدید اضافه شدهاند. طبق بررسیهای انجام شده توسط GitGaurdian در همین سال بیش از ۲۳ میلیون اطلاعات محرمانه در کدها نشت پیدا کرده و شناسایی شده است که تهدید قابل توجهی برای امنیت نرمافزارها محسوب میشود.
چهار مرحله اصلی توسکا برای شناسایی و رفع آسیبپذیریها
سمیه دولتنژاد، مدیر فنی امنیت شرکت مهیمن، در مصاحبه با خبرنگار راه پرداخت، درباره محصول توسکا توضیح داد: «توسکا به تیمهای توسعه کمک میکند تا امنیت محصولات نرمافزاری را از مراحل ابتدایی کنترل کنند. این محصول در سطح کد بررسیهای لازم را انجام میدهد تا آسیبپذیریهای موجود شناسایی شوند و فرایند امنیت نرمافزار به صورت یکپارچه تقویت شود.»
او درباره مراحل مختلف کنترل امنیت گفت: «توسکا بررسیها را در چند مرحله انجام میدهد؛ ابتدا اطلاعات محرمانه در کد شناسایی میشود، سپس تحلیل آسیبپذیری کتابخانههای متنباز انجام میشود که علاوه بر بررسی آسیبپذیریها، آلوده بودن کتابخانهها و پکیجها هم کنترل میشود. همچنین تحلیل ایستای سطح کد و اسکن پیکربندیهای زیرساخت، مشکلات امنیتی موجود را شناسایی کرده و راهنماییهای لازم را به برنامهنویسان ارائه میدهد.»
دولتنژاد تأکید کرد که توسکا علاوه بر کاربرد داخلی، قابل رقابت با محصولات خارجی نیز هست: «این محصول به شکلی طراحی شده که یک راهکار همهجانبه در اختیار تیمها قرار دهد و نیازی به استفاده از چند محصول مختلف نیست. در مقایسه با نمونههای خارجی، توسکا عملکرد بهتری ارائه میدهد و کنترلهای امنیتی لازم را به صورت یکپارچه در سطح کد فراهم میکند.»
او در پایان به اهمیت استفاده به موقع از این ابزار اشاره کرد: «اگر تیمها آسیبپذیریها را به موقع شناسایی و رفع کنند، مقابله با تهدیدهای امنیتی بسیار آسانتر میشود. در شرایط فعلی، حتی شرکتهای کوچک هم که محصولاتشان بر بستر اینترنت یا شبکه داخلی قرار دارد، در معرض خطر هستند و توسکا میتواند نقش مهمی در کاهش این تهدیدها ایفا کند.»
تمرکز مهیمن بر توسعه ایران هوشمند با کمک فناوری اطلاعات
عباس عسکری، مدیرعامل شرکت مهیمن، در گفتوگو با خبرنگار راه پرداخت درباره حضور این شرکت در نمایشگاه الکامپ گفت: «نمایشگاه الکامپ عملاً المپیک سالانه فعالان حوزه فناوری اطلاعات است. این نمایشگاه بستر ارتباط گسترده و فشرده با مشتریان و فعالان بازار را فراهم میکند و فرصت تبدیل این ارتباطات به سرویسها و همکاریهای مشترک را ایجاد میکند. به همین دلیل، ما امسال با تمرکز بر ارائه چند محصول و سرویس جدید، به ویژه در حوزه امنیت، برنامهریزی کردیم.»
او درباره شعار مهیمن در نمایشگاه امسال با عنوان «توسعه ایران هوشمند» توضیح داد: «هدف ما استفاده از ظرفیت فناوری اطلاعات برای شفافیت و روانسازی فرایندها و ساختارهاست؛ چه در حوزه کسبوکار و چه در حکمرانی. تلاش ما این بوده که فناوری اطلاعات به مردم کمک کند تا فرایندها سادهتر و شفافتر شود و اثرگذاری ملموس حتی مختصری در زندگی روزمره داشته باشد.»
اعتماد به سرویسهای داخلی؛ امنتر و شفافتر از نمونههای خارجی
عسکری درباره نقش شرکتهای داخلی در توسعه امنیت گفت: «شرکتهای داخلی مانند مهیمن با تمرکز بر حوزههای بهروز و فناوریهای نوین میتوانند کمک بزرگی به دولت و بخش خصوصی کنند. مهمترین کمک رگولاتوری به این بخش ایجاد شفافیت، بیطرفی و اعتماد در فضای کسبوکار است، به ویژه در اقتصادی که بخش عمده آن دولتی است و شیفتگی به سرویسهای خارجی زیاد است.»
او در پایان تاکید کرد: «اگر بتوانیم استفاده از ظرفیت داخلی را افزایش دهیم و اعتماد به سرویسهای داخلی را تقویت کنیم، فرصت بزرگی برای رشد صنعت فناوری اطلاعات کشور ایجاد میشود. محصولات و سرویسهای داخلی نه تنها قابل رقابت با نمونههای خارجی هستند، بلکه میتوانند امنیت، شفافیت و کارایی را به شکلی جامع فراهم کنند.»