Google predlaže uspostavljanje novih pravila za poboljšanje sigurnosti otvorenog koda

Darkcrizt

4 minuta

Sigurnost softvera otvorenog koda privukla je pozornost industrije, ali rješenja zahtijevaju konsenzus o izazovima i suradnju u provedbi.

Problem je složen i postoji mnogo aspekata koje treba pokriti, iz lanca opskrbe, upravljanja ovisnostima, identiteta, između ostalog. Da bi to učinio, Google je nedavno objavio okvir ("Znaj, spriječi, popravi") koji objašnjava kako industrija može razmišljati o ranjivostima otvorenog koda i određenim područjima koja treba prvo riješiti.

Google objašnjava svoje razloge:

“Zahvaljujući nedavnim događajima, svijet softvera stekao je dublje razumijevanje stvarnog rizika od napada na lanac opskrbe. Softver otvorenog koda trebao bi biti manje rizičan iz sigurnosne perspektive, jer su svi kodovi i ovisnosti otvoreni i dostupni za inspekciju i provjeru. I premda je to općenito točno, pretpostavlja se da ljudi zapravo rade ovaj inspekcijski posao. S toliko ovisnosti, nemoguće je nadgledati sve njih, a mnogi paketi otvorenog koda nisu dobro održavani.

“Uobičajeno je da program izravno ili neizravno ovisi o tisućama paketa i knjižnica. Na primjer, Kubernetes sada ovisi o oko 1000 paketa. Otvoreni izvor vjerojatno koristi ovisnosti umjesto vlasničkog softvera i dolazi od šireg spektra dobavljača; broj neovisnih entiteta kojima se može vjerovati može biti vrlo velik. To izuzetno otežava razumijevanje kako se otvoreni izvor koristi u proizvodima i koje ranjivosti mogu biti relevantne. Također ne postoji jamstvo da će se izgrađeno podudarati s izvornim kodom.

U okviru koji je predložio Google, predlaže se podijeliti ovu poteškoću na tri u velikoj mjeri neovisna problematična područja, od kojih svako ima određene ciljeve:

Upoznajte ranjivosti svog softvera

Upoznavanje ranjivosti softvera teže je nego što biste mogli očekivati iz mnogo razloga. Da dobro postoje mehanizmi za prijavljivanje ranjivosti, nejasno je utječu li doista na određene verzije softvera koji koristite:

  • Cilj: Točni podaci o ranjivosti: Prvo, presudno je prikupiti točne metapodatke o ranjivosti iz svih dostupnih izvora podataka. Na primjer, saznanje u kojoj je verziji uvedena ranjivost pomaže utvrditi je li softver pogođen, a saznanje kada je ispravljen rezultira točnim i pravodobnim popravcima (i uskim prozorom za potencijalno iskorištavanje). U idealnom slučaju, ovaj tijek klasifikacije trebao bi biti automatiziran.
  • Drugo, većina ranjivosti leži u vašim ovisnostima, a ne u kodu koji izravno pišete ili kontrolirate. Dakle, čak i kada se vaš kôd ne mijenja, krajolik ranjivosti koji utječu na vaš softver može se stalno mijenjati - neke su ispravljene, a neke dodane.
  • Svrha: Standardna shema za baze podataka o ranjivosti Infrastruktura i industrijski standardi potrebni su za praćenje i održavanje ranjivosti otvorenog koda, razumijevanje njihovih posljedica i upravljanje njihovim ublažavanjima. Standardna shema ranjivosti omogućila bi uobičajene alate za rad na više baza podataka o ranjivosti i pojednostavila zadatak praćenja, posebno kada ranjivosti prelaze više jezika ili podsustava.

Izbjegavajte dodavanje novih ranjivosti

Bilo bi idealno izbjeći stvaranje ranjivosti I dok alati za testiranje i analizu mogu pomoći, prevencija će uvijek biti teška tema.

Ovdje, Google predlaže da se usredotoči na dva specifična aspekta:

  • Razumjeti rizike pri odlučivanju o novoj ovisnosti
  • Poboljšati kritične procese razvoja softvera

Popravite ili uklonite ranjivosti

Google priznaje da je opći problem popravka izvan njegove nadležnosti, ali izdavač vjeruje da glumci mogu učiniti mnogo više za rješavanje problema specifične za upravljanje ranjivostima u ovisnostima.

Također se spominje: 

„Danas na ovom polju nema puno pomoći, ali kako poboljšavamo točnost, vrijedi ulagati u nove procese i alate.

“Jedna od mogućnosti je, naravno, izravno zakrpati ranjivost. Ako to možete učiniti na kompatibilan način, rješenje je dostupno svima. Ali izazov je taj što vjerojatno nećete imati iskustva s problemom ili izravnu sposobnost da napravite promjene. Otklanjanje ranjivosti također pretpostavlja da su odgovorni za održavanje softvera svjesni problema te da imaju znanje i resurse za otkrivanje ranjivosti.

izvor: https://security.googleblog.com


Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Odgovoran za podatke: AB Internet Networks 2008 SL
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   José Antonio dijo
    zec 3 godina

    Izvornik na engleskom kaže:

    Ovdje se usredotočujemo na dva specifična aspekta:

    - Razumijevanje rizika pri odlučivanju o novoj ovisnosti

    - Poboljšanje razvojnih procesa za kritični softver

    verzija "LinuxAdictos" kaže:

    Ovdje Google predlaže da se usredotoči na dva specifična aspekta:

    - Razumjeti rizike pri odabiru nove ovisnosti.

    - Poboljšanje kritičnih procesa razvoja softvera

    Nova ovisnost!?

    Odgovorite Joséu Antoniju