Η ασφάλεια λογισμικού ανοιχτού κώδικα έχει προσελκύσει την προσοχή της βιομηχανίας, αλλά οι λύσεις απαιτούν συναίνεση σχετικά με τις προκλήσεις και συνεργασία κατά την εφαρμογή.
Το πρόβλημα είναι πολύπλοκο και υπάρχουν πολλές πτυχές που πρέπει να καλύψουμε, από την εφοδιαστική αλυσίδα, τη διαχείριση εξάρτησης, την ταυτότητα, μεταξύ άλλων. Για να γίνει αυτό, η Google κυκλοφόρησε πρόσφατα ένα πλαίσιο ("Know, Prevent, Fix") που εξηγεί πώς ο κλάδος μπορεί να σκεφτεί τα τρωτά σημεία στον ανοιχτό κώδικα και σε συγκεκριμένες περιοχές που πρέπει να αντιμετωπιστούν πρώτα.
Η Google εξηγεί τους λόγους της:
«Λόγω των πρόσφατων γεγονότων, ο κόσμος του λογισμικού έχει αποκτήσει μια βαθύτερη κατανόηση του πραγματικού κινδύνου επιθέσεων στην αλυσίδα εφοδιασμού. Το λογισμικό ανοιχτού κώδικα θα πρέπει να είναι λιγότερο επικίνδυνο από την άποψη της ασφάλειας, καθώς όλοι οι κώδικας και οι εξαρτήσεις είναι ανοιχτοί και διαθέσιμοι για επιθεώρηση και επαλήθευση. Και ενώ αυτό είναι γενικά αλήθεια, υποτίθεται ότι οι άνθρωποι κάνουν πραγματικά αυτήν τη δουλειά επιθεώρησης. Με τόσες πολλές εξαρτήσεις, είναι αδύνατο να παρακολουθηθούν όλες και πολλά πακέτα ανοιχτού κώδικα δεν διατηρούνται καλά.
«Είναι σύνηθες ένα πρόγραμμα να εξαρτάται, άμεσα ή έμμεσα, από χιλιάδες πακέτα και βιβλιοθήκες. Για παράδειγμα, το Kubernetes εξαρτάται πλέον από περίπου 1000 πακέτα. Ο ανοιχτός κώδικας πιθανότατα χρησιμοποιεί εξαρτήσεις περισσότερο από ιδιόκτητο λογισμικό και προέρχεται από ένα ευρύτερο φάσμα προμηθευτών. ο αριθμός των ανεξάρτητων οντοτήτων που μπορούν να εμπιστευτούν μπορεί να είναι πολύ μεγάλος. Αυτό καθιστά εξαιρετικά δύσκολο να κατανοήσουμε πώς χρησιμοποιείται ο ανοιχτός κώδικας σε προϊόντα και ποιες ευπάθειες μπορεί να είναι σχετικές. Δεν υπάρχει επίσης καμία εγγύηση ότι αυτό που έχει δημιουργηθεί ταιριάζει με τον πηγαίο κώδικα.
Μέσα στο πλαίσιο που προτείνει η Google, προτείνεται να χωριστεί αυτή η δυσκολία σε τρεις σε μεγάλο βαθμό ανεξάρτητες προβληματικές περιοχές, καθεμία με συγκεκριμένους στόχους:
Γνωρίστε τα τρωτά σημεία του λογισμικού σας
Το να γνωρίζετε τα τρωτά σημεία του λογισμικού σας είναι πιο δύσκολο από ό,τι θα περιμένατε για ΠΟΛΛΟΥΣ λογους. Ναι ΕΝΤΑΞΕΙ υπάρχουν μηχανισμοί αναφοράς τρωτών σημείων, δεν είναι σαφές εάν επηρεάζουν πραγματικά τις συγκεκριμένες εκδόσεις του λογισμικού που χρησιμοποιείτε:
- Στόχος: Ακριβή δεδομένα ευπάθειας: Πρώτον, είναι σημαντικό να συλλέγονται ακριβή μεταδεδομένα ευπάθειας από όλες τις διαθέσιμες πηγές δεδομένων. Για παράδειγμα, η γνώση της έκδοσης που εισήγαγε μια ευπάθεια βοηθά στον προσδιορισμό του εάν επηρεάζεται το λογισμικό και η γνώση του πότε έχει επιδιορθωθεί έχει ως αποτέλεσμα ακριβείς και έγκαιρες επιδιορθώσεις (και μειωμένο παράθυρο για πιθανή εκμετάλλευση). Στην ιδανική περίπτωση, αυτή η ροή εργασίας ταξινόμησης θα πρέπει να είναι αυτοματοποιημένη.
- Δεύτερον, τα περισσότερα από τα τρωτά σημεία βρίσκονται στις εξαρτήσεις σας και όχι στον κώδικα που γράφετε ή ελέγχετε απευθείας. Έτσι, ακόμη και όταν ο κώδικάς σας δεν αλλάζει, το τοπίο των τρωτών σημείων που επηρεάζουν το λογισμικό σας μπορεί να αλλάζει συνεχώς: ορισμένα επιδιορθώνονται και άλλα προστίθενται.
- Σκοπός: Τυποποιημένο σχήμα για βάσεις δεδομένων ευπάθειας Τα πρότυπα υποδομής και βιομηχανίας είναι απαραίτητα για την παρακολούθηση και τη διατήρηση των τρωτών σημείων ανοιχτού κώδικα, την κατανόηση των συνεπειών τους και τη διαχείριση των μετριασμών τους. Ένα τυπικό σχήμα ευπάθειας θα επέτρεπε σε κοινά εργαλεία να εκτελούνται έναντι πολλαπλών βάσεων δεδομένων ευπάθειας και θα απλοποιούσε το έργο της ανίχνευσης, ειδικά όταν τα τρωτά σημεία διασχίζουν πολλές γλώσσες ή υποσυστήματα.
Αποφύγετε την προσθήκη νέων τρωτών σημείων
Θα ήταν ιδανικό να αποφύγετε τη δημιουργία τρωτών σημείων Και ενώ τα εργαλεία δοκιμών και ανάλυσης μπορούν να βοηθήσουν, η πρόληψη θα είναι πάντα ένα δύσκολο ζήτημα.
Εδώ, Η Google προτείνει να επικεντρωθεί σε δύο συγκεκριμένες πτυχές:
- Κατανοήστε τους κινδύνους όταν αποφασίζετε για μια νέα εξάρτηση
- Βελτιώστε τις κρίσιμες διαδικασίες ανάπτυξης λογισμικού
Διορθώστε ή αφαιρέστε τα τρωτά σημεία
Η Google αναγνωρίζει ότι το γενικό πρόβλημα της επισκευής ξεφεύγει από το πεδίο εφαρμογής της, αλλά ο εκδότης πιστεύει ότι οι ηθοποιοί μπορούν να κάνουν πολλά περισσότερα για να αντιμετωπίσουν το πρόβλημα ειδικά για τη διαχείριση τρωτών σημείων σε εξαρτήσεις.
Επίσης αναφέρει:
«Σήμερα υπάρχει μικρή βοήθεια σε αυτό το μέτωπο, αλλά καθώς βελτιώνουμε την ακρίβεια, αξίζει να επενδύσουμε σε νέες διαδικασίες και εργαλεία.
«Μία επιλογή, φυσικά, είναι να επιδιορθώσετε άμεσα την ευπάθεια. Εάν μπορείτε να το κάνετε αυτό με συμβατό προς τα πίσω τρόπο, η λύση είναι διαθέσιμη σε όλους. Αλλά η πρόκληση είναι ότι είναι απίθανο να έχετε εμπειρία με το πρόβλημα ή την άμεση ικανότητα να κάνετε αλλαγές. Η επιδιόρθωση μιας ευπάθειας προϋποθέτει επίσης ότι οι συντηρητές λογισμικού γνωρίζουν το πρόβλημα και διαθέτουν τις γνώσεις και τους πόρους για να αποκαλύψουν την ευπάθεια.
πηγή: https://security.googleblog.com
Το πρωτότυπο στα αγγλικά λέει:
Εδώ εστιάζουμε σε δύο συγκεκριμένες πτυχές:
– Κατανόηση των κινδύνων όταν αποφασίζετε για μια νέα εξάρτηση
– Βελτίωση των διαδικασιών ανάπτυξης για κρίσιμο λογισμικό
Η έκδοση "LinuxAdictos" λέει:
Εδώ, η Google προτείνει να επικεντρωθεί σε δύο συγκεκριμένες πτυχές:
– Κατανοήστε τους κινδύνους όταν επιλέγετε έναν νέο εθισμό.
– Βελτίωση κρίσιμων διαδικασιών ανάπτυξης λογισμικού
Ένας νέος εθισμός!