Google navrhuje zavést nová pravidla pro zlepšení zabezpečení open source

Darkcrizt

4 minut

Zabezpečení softwaru s otevřeným zdrojovým kódem přilákalo pozornost průmyslu, ale řešení vyžadují konsenzus o výzvách a spolupráci při implementaci.

Problém je složitý a existuje mnoho aspektů, které je třeba pokrýt, mimo jiné z dodavatelského řetězce, správy závislostí, identity. Za tímto účelem společnost Google nedávno vydala rámec („Know, Prevent, Fix“), který vysvětluje, jak může toto odvětví myslet na zranitelná místa v otevřeném zdrojovém kódu a konkrétních oblastech, které je třeba nejprve řešit.

Google vysvětluje své důvody:

"Díky nedávným událostem svět softwaru získal hlubší pochopení skutečného rizika útoků na dodavatelský řetězec." Software s otevřeným zdrojovým kódem by měl být z hlediska zabezpečení méně riskantní, protože veškerý kód a závislosti jsou otevřené a dostupné pro kontrolu a ověření. A i když je to obecně pravda, předpokládá se, že lidé skutečně provádějí tyto inspekční práce. S tolika závislostmi je nemožné je všechny sledovat a mnoho balíčků open source není dobře udržováno.

"Je běžné, že program závisí přímo nebo nepřímo na tisících balíčků a knihoven." Například Kubernetes nyní závisí na přibližně 1000 balíčcích. Open source pravděpodobně používá spíše závislosti než proprietární software a pochází od širšího spektra dodavatelů; počet nezávislých subjektů, kterým lze důvěřovat, může být velmi velký. Díky tomu je nesmírně obtížné pochopit, jak se v produktech používá otevřený zdroj a jaké chyby zabezpečení mohou být relevantní. Neexistuje také žádná záruka, že to, co je vytvořeno, bude odpovídat zdrojovému kódu.

V rámci navrženém společností Google se navrhuje rozdělit tuto obtíž na tři převážně nezávislé problémové oblasti, každá se specifickými cíli:

Znát zranitelná místa vašeho softwaru

Znát vaše chyby softwaru je obtížnější, než byste čekali z mnoha důvodů. Ano, dobře existují mechanismy pro hlášení zranitelností, není jasné, zda skutečně ovlivňují konkrétní verze softwaru, který používáte:

  • Cíl: Přesná data chyby zabezpečení: Nejprve je důležité zachytit přesná metadata chyby zabezpečení ze všech dostupných zdrojů dat. Například znalost toho, která verze zavedla chybu zabezpečení, pomáhá určit, zda je software ovlivněn, a znalost toho, zda byl opraven, vede k přesným a včasným opravám (a úzkému oknu pro potenciální zneužití). V ideálním případě by měl být tento pracovní postup klasifikace automatizovaný.
  • Zadruhé, většina chyb zabezpečení spočívá spíše ve vašich závislostech než v kódu, který píšete nebo přímo ovládáte. Takže i když se váš kód nezmění, prostředí zranitelností ovlivňujících váš software se může neustále měnit - některé jsou opravené, jiné přidány.
  • Účel: Standardní schéma pro databáze zranitelností Ke sledování a udržování zranitelností otevřeného zdroje, porozumění jejich důsledkům a správě jejich zmírnění jsou vyžadovány infrastrukturní a průmyslové standardy. Standardní schéma zranitelnosti by umožnilo spuštění běžných nástrojů ve více databázích zranitelností a zjednodušilo by sledování úkolů, zvláště když zranitelnosti procházejí více jazyky nebo subsystémy.

Vyhněte se přidávání nových zranitelností

Bylo by ideální vyhnout se vytváření zranitelností A i když nástroje pro testování a analýzu mohou pomoci, prevence bude vždy obtížným tématem.

Zde, Google navrhuje zaměřit se na dva konkrétní aspekty:

  • Pochopte rizika při rozhodování o nové závislosti
  • Vylepšete kritické procesy vývoje softwaru

Opravte nebo odstraňte chyby zabezpečení

Google uznává, že obecný problém opravy přesahuje jeho rámec, ale vydavatel věří, že herci mohou pro řešení problému udělat mnohem více specifické pro správu zranitelností v závislostech.

Rovněž zmiňuje: 

"Dnes je v této oblasti malá pomoc, ale jak zlepšujeme přesnost, stojí za to investovat do nových procesů a nástrojů."

"Jednou z možností je samozřejmě opravit tuto chybu zabezpečení přímo." Pokud to můžete udělat zpětně kompatibilním způsobem, je řešení k dispozici všem. Výzvou však je, že je nepravděpodobné, že byste měli problém s problémem nebo přímou schopnost provádět změny. Oprava chyby zabezpečení rovněž předpokládá, že osoby odpovědné za údržbu softwaru jsou si problému vědomy a mají znalosti a prostředky k odhalení chyby zabezpečení.

zdroj: https://security.googleblog.com


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Za data odpovídá: AB Internet Networks 2008 SL
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.

  1.   José Antonio řekl
    před 3 let

    Originál v angličtině říká:

    Zde se zaměřujeme na dva specifické aspekty:

    - Pochopení rizik při rozhodování o nové závislosti

    - Zlepšení vývojových procesů pro kritický software

    Verze "LinuxAdictos"říká:

    Zde Google navrhuje zaměřit se na dva konkrétní aspekty:

    - Pochopte rizika při výběru nové závislosti.

    - Zlepšení procesů vývoje kritického softwaru

    Nová závislost!?

    Odpověď Josému Antoniovi