Google soovitab avatud lähtekoodiga turvalisuse parandamiseks kehtestada uued reeglid

Darkcrizt

4 minutit

Avatud lähtekoodiga tarkvara turvalisus on äritegevuse tähelepanu pälvinud, kuid lahendused vajavad väljakutsete osas konsensust ja koostööd rakendamisel.

Probleem on keeruline ja hõlmata on palju tahke, tarneahelast, sõltuvushaldus, identiteet, muu hulgas. Selleks avaldas Google hiljuti raamistiku ("Tea, enneta, lahenda"), mis selgitab, kuidas tööstus võib mõelda haavatavustele avatud lähtekoodiga ja konkreetsetes valdkondades, millele tuleb kõigepealt tähelepanu pöörata.

Google selgitab oma põhjuseid:

„Hiljutiste sündmuste tõttu on tarkvaramaailm omandanud sügavama arusaama tarneahelarünnakute tegelikust riskist. Avatud lähtekoodiga tarkvara peaks olema turvalisuse seisukohalt vähem riskantne, kuna kõik koodid ja sõltuvused on avatud ning kontrollimiseks ja kontrollimiseks saadaval. Ja kuigi see on üldiselt tõsi, eeldatakse, et inimesed teevad seda kontrollimist tegelikult. Nii paljude sõltuvuste korral on võimatu kõiki neid jälgida ja paljusid avatud lähtekoodiga pakette pole piisavalt hooldatud.

„On tavaline, et programm sõltub otseselt või kaudselt tuhandetest pakettidest ja raamatukogudest. Näiteks Kubernetes sõltub nüüd umbes 1000 pakendist. Avatud lähtekood kasutab tõenäoliselt sõltuvusi, mitte varalist tarkvara ja pärineb laiemalt tootjatelt; sõltumatute üksuste arv, keda saab usaldada, võib olla väga suur. See muudab äärmiselt keeruliseks mõista, kuidas toodetes kasutatakse avatud lähtekoodiga ja millised haavatavused võivad olla asjakohased. Samuti ei saa garanteerida, et see, mis on ehitatud, sobib lähtekoodiga.

Google'i pakutud raamistikus soovitatakse see raskus jagada kolmeks suuresti iseseisvaks probleemvaldkonnaks, millel kõigil on konkreetsed eesmärgid:

Tea oma tarkvara haavatavusi

Tarkvara haavatavuste tundmine on keerulisem, kui võite arvata paljudel põhjustel. Jah OK haavatavustest teatamiseks on olemas mehhanismid, pole selge, kas need mõjutavad teie kasutatava tarkvara konkreetseid versioone:

  • Eesmärk: täpsed haavatavusandmed: esiteks on oluline haarata täpseid haavatavuse metaandmeid kõigist saadaolevatest andmeallikatest. Näiteks aitab haavatavuse sisse viidud versioon teada saada, kas tarkvara on mõjutatud, ning teadmine, millal see on lappitud, annab täpseid ja õigeaegseid parandusi (ja kitsa akna võimaliku ekspluateerimise jaoks). Ideaalis peaks see klassifitseerimise töövoog olema automatiseeritud.
  • Teiseks, enamik haavatavusi on teie sõltuvuses, mitte koodis, mille kirjutate või kontrollite otse. Nii et isegi kui teie kood ei muutu, võib teie tarkvara mõjutavate haavatavuste maastik pidevalt muutuda - mõned on fikseeritud ja mõned lisatakse.
  • Eesmärk: haavatavuse andmebaaside standardskeem Infrastruktuuri ja tööstuse standardeid on vaja avatud lähtekoodiga haavatavuste jälgimiseks ja hooldamiseks, nende tagajärgede mõistmiseks ja nende leevenduste haldamiseks. Standardne haavatavuse skeem võimaldaks ühistel tööriistadel töötada mitmes haavatavuse andmebaasis ja lihtsustaks jälgimise ülesannet, eriti kui haavatavused läbivad mitut keelt või alamsüsteemi.

Vältige uute haavatavuste lisamist

Ideaalne oleks vältida haavatavuste teket Kuigi testimis- ja analüüsivahendid võivad aidata, on ennetamine alati keeruline teema.

Siin, Google teeb ettepaneku keskenduda kahele konkreetsele aspektile:

  • Uue sõltuvuse üle otsustamisel saate aru riskidest
  • Parandage kriitilisi tarkvaraarendusprotsesse

Parandage või eemaldage nõrkused

Google tunnistab, et remondi üldine probleem ei kuulu tema pädevusse, kuid kirjastaja usub, et näitlejad saavad probleemi lahendamiseks teha palju muud spetsiifiline sõltuvuste haavatavuste haldamiseks.

Samuti mainitakse: 

„Täna on sellel rindel vähe abi, kuid täpsuse parandamisel tasub investeerida uutesse protsessidesse ja tööriistadesse.

"Üks võimalus on muidugi haavatavuse otse lappida. Kui saate seda teha tagurpidi ühilduval viisil, on lahendus kõigile kättesaadav. Kuid väljakutse seisneb selles, et teil pole tõenäoliselt probleemi kogemusi ega otsest võimalust muudatusi teha. Haavatavuse parandamine eeldab ka seda, et tarkvara hooldamise eest vastutavad isikud on probleemist teadlikud ning omavad teadmisi ja ressursse haavatavuse avaldamiseks.

allikas: https://security.googleblog.com


Jäta oma kommentaar

Sinu e-postiaadressi ei avaldata. Kohustuslikud väljad on tähistatud *

*

*

  1. Andmete eest vastutav: AB Internet Networks 2008 SL
  2. Andmete eesmärk: Rämpsposti kontrollimine, kommentaaride haldamine.
  3. Seadustamine: teie nõusolek
  4. Andmete edastamine: andmeid ei edastata kolmandatele isikutele, välja arvatud juriidilise kohustuse alusel.
  5. Andmete salvestamine: andmebaas, mida haldab Occentus Networks (EL)
  6. Õigused: igal ajal saate oma teavet piirata, taastada ja kustutada.

  1.   José Antonio DIJO
    tagasi 3 aastat

    Ingliskeelne originaal ütleb:

    Siin keskendume kahele konkreetsele aspektile:

    - Uute sõltuvuste üle otsustamisel riskide mõistmine

    - Kriitilise tarkvara arendusprotsesside täiustamine

    versioon"LinuxAdictos" ütleb:

    Siin teeb Google ettepaneku keskenduda kahele konkreetsele aspektile:

    - Uue sõltuvuse valimisel mõistke riske.

    - Kriitiliste tarkvaraarendusprotsesside täiustamine

    Uus sõltuvus!?

    Vasta José Antoniole