Google predlaže uspostavljanje novih pravila za poboljšanje sigurnosti otvorenog koda

Darkcrizt

4 minuta

Sigurnost softvera otvorenog koda privukla je pažnju industrije, ali rješenja zahtijevaju konsenzus o izazovima i suradnju u provedbi.

Problem je složen i postoji mnogo aspekata koje treba pokriti, između lanca opskrbe, upravljanja zavisnošću, identiteta, između ostalog. Da bi to učinio, Google je nedavno objavio okvir ("Znaj, spriječi, popravi") koji objašnjava kako industrija može razmišljati o ranjivostima u otvorenom kodu i određenim područjima koja treba prvo riješiti.

Google objašnjava svoje razloge:

„Zbog nedavnih događaja, svijet softvera stekao je dublje razumijevanje stvarnog rizika od napada na lanac opskrbe. Softver otvorenog koda trebao bi biti manje rizičan iz sigurnosne perspektive, jer su svi kodovi i zavisnosti otvoreni i dostupni za inspekciju i provjeru. I iako je to općenito tačno, pretpostavlja se da ljudi zapravo rade ovaj inspekcijski posao. S toliko mnogo zavisnosti, nemoguće je nadgledati sve njih, a mnogi paketi otvorenog koda nisu dobro održavani.

„Uobičajeno je da program ovisi, direktno ili indirektno, o hiljadama paketa i biblioteka. Na primjer, Kubernetes sada ovisi o oko 1000 paketa. Otvoreni izvor vjerovatno koristi zavisnosti umjesto vlasničkog softvera i dolazi od šireg spektra dobavljača; broj neovisnih entiteta kojima se može vjerovati može biti vrlo velik. To izuzetno otežava razumijevanje kako se otvoreni izvor koristi u proizvodima i koje ranjivosti mogu biti relevantne. Takođe ne postoji garancija da će se izgrađeno podudarati s izvornim kodom.

U okviru koji je predložio Google, predlaže se da se ova poteškoća podijeli na tri u velikoj mjeri neovisna problematična područja, od kojih svako ima određene ciljeve:

Upoznajte ranjivosti svog softvera

Upoznavanje ranjivosti softvera je teže nego što biste mogli očekivati iz mnogih razloga. da, uredu postoje mehanizmi za prijavljivanje ranjivosti, nejasno je da li stvarno utječu na određene verzije softvera koji koristite:

  • Cilj: Tačni podaci o ranjivosti: Prvo, presudno je prikupiti tačne metapodatke o ranjivosti iz svih dostupnih izvora podataka. Na primjer, saznanje koja je verzija uvela ranjivost pomaže utvrditi je li softver pogođen, a saznanje kada je ispravljen rezultira tačnim i pravovremenim popravcima (i uskim prozorom za potencijalnu eksploataciju). U idealnom slučaju, ovaj tijek klasifikacije trebao bi biti automatiziran.
  • Drugo, većina ranjivosti leži u vašim zavisnostima, a ne u kodu koji direktno pišete ili kontrolirate. Dakle, čak i kada se vaš kod ne promijeni, pejzaž ranjivosti koji utječu na vaš softver može se stalno mijenjati - neke su ispravljene, a neke dodane.
  • Svrha: Standardna šema za baze podataka o ranjivosti Infrastruktura i industrijski standardi su potrebni za praćenje i održavanje ranjivosti otvorenog koda, razumijevanje njihovih posljedica i upravljanje njihovim ublažavanjima. Standardna shema ranjivosti omogućila bi uobičajene alate za rad na više baza podataka o ranjivosti i pojednostavila zadatak praćenja, posebno kada ranjivosti prelaze više jezika ili podsistema.

Izbjegavajte dodavanje novih ranjivosti

Bilo bi idealno izbjeći stvaranje ranjivosti I dok alati za testiranje i analizu mogu pomoći, prevencija će uvijek biti teška tema.

Evo, Google predlaže da se usredotoči na dva specifična aspekta:

  • Razumjeti rizike pri odlučivanju o novoj ovisnosti
  • Poboljšati kritične procese razvoja softvera

Popravite ili uklonite ranjivosti

Google priznaje da je opći problem popravka izvan njegove nadležnosti, ali izdavač vjeruje da glumci mogu učiniti mnogo više za rješavanje problema specifične za upravljanje ranjivostima u zavisnostima.

Takođe se spominje: 

„Danas na ovom polju nema puno pomoći, ali kako poboljšavamo preciznost, isplati se ulagati u nove procese i alate.

„Jedna od mogućnosti je, naravno, direktno zakrpati ranjivost. Ako to možete učiniti na kompatibilan način, rješenje je dostupno svima. Ali izazov je taj što je malo vjerojatno da ćete imati iskustva s problemom ili izravnu sposobnost da napravite promjene. Otklanjanje ranjivosti pretpostavlja i da su odgovorni za održavanje softvera svjesni problema te da posjeduju znanje i resurse za otkrivanje ranjivosti.

Izvor: https://security.googleblog.com


Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Odgovoran za podatke: AB Internet Networks 2008 SL
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   Jose Antonio rekao je
    čini 3 godina

    Original na engleskom kaže:

    Ovdje se fokusiramo na dva specifična aspekta:

    - Razumijevanje rizika prilikom donošenja odluke o novoj zavisnosti

    - Poboljšanje razvojnih procesa za kritični softver

    Verzija «LinuxAdictos" kaže:

    Ovdje Google predlaže da se usredotoči na dva specifična aspekta:

    - Razumjeti rizike pri odabiru nove ovisnosti.

    - Poboljšanje kritičnih procesa razvoja softvera

    Nova ovisnost!?

    Odgovorite Joséu Antoniju