Google mengusulkan untuk membuat aturan baru untuk meningkatkan keamanan open source

Darkcrizt

4 menit

Keamanan perangkat lunak open source telah menarik perhatian industri, tetapi solusi membutuhkan konsensus tentang tantangan dan kerja sama dalam implementasi.

Masalahnya rumit dan ada banyak aspek yang harus dibahas, dari rantai pasokan, manajemen ketergantungan, identitas, dan lain-lain. Untuk melakukan ini, Google baru-baru ini merilis kerangka kerja ("Ketahui, Cegah, Perbaiki") yang menjelaskan bagaimana industri dapat memikirkan tentang kerentanan di sumber terbuka dan area tertentu yang harus ditangani terlebih dahulu.

Google menjelaskan alasannya:

“Karena kejadian baru-baru ini, dunia perangkat lunak telah memperoleh pemahaman yang lebih dalam tentang risiko nyata dari serangan rantai pasokan. Perangkat lunak sumber terbuka seharusnya tidak terlalu berisiko dari perspektif keamanan, karena semua kode dan dependensi terbuka dan tersedia untuk pemeriksaan dan verifikasi. Dan meskipun ini secara umum benar, diasumsikan bahwa orang-orang benar-benar melakukan pekerjaan inspeksi ini. Dengan begitu banyak dependensi, tidak mungkin untuk memantau semuanya dan banyak paket open source tidak terawat dengan baik.

“Merupakan hal yang umum untuk sebuah program bergantung, secara langsung atau tidak langsung, pada ribuan paket dan perpustakaan. Misalnya, Kubernetes sekarang bergantung pada sekitar 1000 paket. Sumber terbuka mungkin menggunakan dependensi daripada perangkat lunak berpemilik dan berasal dari vendor yang lebih luas; jumlah entitas independen yang dapat dipercaya bisa sangat besar. Ini membuatnya sangat sulit untuk memahami bagaimana open source digunakan dalam produk dan kerentanan apa yang mungkin relevan. Juga tidak ada jaminan bahwa apa yang dibangun akan cocok dengan kode sumbernya.

Dalam kerangka kerja yang diusulkan oleh Google, disarankan untuk membagi kesulitan ini menjadi tiga area masalah yang sebagian besar independen, masing-masing dengan tujuan khusus:

Ketahui kerentanan perangkat lunak Anda

Mengetahui kerentanan perangkat lunak Anda lebih sulit dari yang Anda duga untuk banyak alasan. ya ok ada mekanisme untuk melaporkan kerentanan, tidak jelas apakah mereka benar-benar memengaruhi versi tertentu dari perangkat lunak yang Anda gunakan:

  • Sasaran: Data Kerentanan yang Akurat: Pertama, sangat penting untuk menangkap metadata kerentanan yang akurat dari semua sumber data yang tersedia. Misalnya, mengetahui versi mana yang memperkenalkan kerentanan membantu menentukan apakah perangkat lunak tersebut terpengaruh, dan mengetahui kapan telah ditambal menghasilkan perbaikan yang akurat dan tepat waktu (dan jendela sempit untuk potensi eksploitasi). Idealnya, alur kerja klasifikasi ini harus diotomatiskan.
  • Kedua, sebagian besar kerentanan terletak pada dependensi Anda, bukan pada kode yang Anda tulis atau kontrol secara langsung. Jadi, meskipun kode Anda tidak berubah, lanskap kerentanan yang memengaruhi perangkat lunak Anda dapat terus berubah - beberapa diperbaiki dan beberapa ditambahkan.
  • Tujuan: Skema standar untuk database kerentanan Standar infrastruktur dan industri diperlukan untuk melacak dan memelihara kerentanan open source, memahami konsekuensinya, dan mengelola mitigasinya. Skema kerentanan standar akan memungkinkan alat umum untuk berjalan di beberapa basis data kerentanan dan menyederhanakan tugas pelacakan, terutama saat kerentanan melintasi banyak bahasa atau subsistem.

Hindari menambahkan kerentanan baru

Ini akan ideal untuk menghindari penciptaan kerentanan Dan meskipun alat pengujian dan analisis dapat membantu, pencegahan akan selalu menjadi topik yang sulit.

Sini, Google mengusulkan untuk fokus pada dua aspek spesifik:

  • Pahami risikonya saat memutuskan ketergantungan baru
  • Tingkatkan proses pengembangan perangkat lunak penting

Perbaiki atau hapus kerentanan

Google mengakui bahwa masalah umum perbaikan berada di luar bidangnya, tetapi penerbit percaya bahwa masih banyak lagi yang dapat dilakukan aktor untuk mengatasi masalah tersebut khusus untuk mengelola kerentanan dalam dependensi.

Itu juga menyebutkan: 

“Saat ini hanya ada sedikit bantuan di bagian depan ini, tetapi saat kami meningkatkan akurasi, berinvestasi dalam proses dan alat baru akan bermanfaat.

“Satu pilihan, tentu saja, adalah menambal kerentanan secara langsung. Jika Anda dapat melakukan ini dengan cara yang kompatibel ke belakang, solusinya tersedia untuk semua orang. Tetapi tantangannya adalah Anda tidak mungkin memiliki pengalaman dengan masalah tersebut atau kemampuan langsung untuk membuat perubahan. Memperbaiki kerentanan juga mengasumsikan bahwa mereka yang bertanggung jawab untuk memelihara perangkat lunak mengetahui masalah tersebut dan memiliki pengetahuan serta sumber daya untuk mengungkap kerentanan tersebut.

sumber: https://security.googleblog.com


tinggalkan Komentar Anda

Alamat email Anda tidak akan dipublikasikan. Bidang yang harus diisi ditandai dengan *

*

*

  1. Bertanggung jawab atas data: AB Internet Networks 2008 SL
  2. Tujuan data: Mengontrol SPAM, manajemen komentar.
  3. Legitimasi: Persetujuan Anda
  4. Komunikasi data: Data tidak akan dikomunikasikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Basis data dihosting oleh Occentus Networks (UE)
  6. Hak: Anda dapat membatasi, memulihkan, dan menghapus informasi Anda kapan saja.

  1.   José Antonio dijo
    dahulu 3 tahun

    Asli dalam bahasa Inggris mengatakan:

    Di sini kami fokus pada dua aspek spesifik:

    - Memahami risiko saat memutuskan ketergantungan baru

    - Meningkatkan proses pengembangan untuk perangkat lunak penting

    Versi "LinuxAdictos" mengatakan:

    Di sini, Google mengusulkan untuk fokus pada dua aspek spesifik:

    - Pahami risikonya saat memilih kecanduan baru.

    - Peningkatan proses pengembangan perangkat lunak penting

    Kecanduan baru!?

    Balas ke José Antonio