ओपन सोर्स सुरक्षा सुधारण्यासाठी नवीन नियम स्थापन करण्याचा गूगलचा प्रस्ताव आहे

Darkcrizt

4 मिनिटे

ओपन सोर्स सॉफ्टवेअरच्या सुरक्षेमुळे उद्योगाचे लक्ष वेधले गेले आहे, परंतु निराकरण करण्यासाठी आव्हानांवर आणि एकत्रीकरणाच्या अंमलबजावणीत सहकार्य आवश्यक आहे.

समस्या गुंतागुंतीची आहे आणि यावर कित्येक बाबी आहेत, पुरवठा साखळी, अवलंबन व्यवस्थापन, ओळख आणि इतर गोष्टींमधून. हे करण्यासाठी, Google ने अलीकडेच एक फ्रेमवर्क ("जाणून घ्या, प्रतिबंध करा, निश्चित करा") जारी केले ज्यामध्ये खुलासा करणार्‍या स्त्रोतांच्या असुरक्षा आणि प्रथम संबोधित करणे आवश्यक असलेल्या विशिष्ट क्षेत्राबद्दल उद्योग कसा विचार करू शकतो हे स्पष्ट करते.

गूगल आपली कारणे स्पष्ट करते:

“अलीकडील घटनांमुळे, सॉफ्टवेअर वर्ल्डला पुरवठा साखळी हल्ल्यांच्या वास्तविक धोक्याबद्दल सखोल समज प्राप्त झाले आहे. सुरक्षितता दृष्टीकोनातून मुक्त स्त्रोत सॉफ्टवेअर कमी धोकादायक असले पाहिजे कारण सर्व कोड आणि अवलंबन खुले आहेत आणि तपासणी आणि सत्यापनासाठी उपलब्ध आहेत. आणि हे सामान्यत: खरे असले तरी असे गृहित धरले जाते की लोक प्रत्यक्षात हे तपासणी कार्य करत आहेत. बर्‍याच अवलंबित्वांसह, या सर्वांचे निरीक्षण करणे अशक्य आहे आणि बर्‍याच मुक्त स्त्रोत पॅकेजेस व्यवस्थित देखरेखीखाली नाहीत.

“एखाद्या प्रोग्रामला प्रत्यक्ष किंवा अप्रत्यक्षरित्या हजारो पॅकेज आणि लायब्ररीत अवलंबून राहणे सामान्य आहे. उदाहरणार्थ, कुबर्नेट्स आता सुमारे 1000 पॅकेजेसवर अवलंबून आहेत. मुक्त स्त्रोत कदाचित मालकी सॉफ्टवेअरऐवजी अवलंबित्व वापरतात आणि विक्रेत्यांच्या विस्तृत श्रेणीमधून येतात; विश्वासार्ह असलेल्या स्वतंत्र संस्थांची संख्या खूप मोठी असू शकते. उत्पादनांमध्ये ओपन सोर्सचा कसा वापर केला जातो आणि कोणत्या असुरक्षा संबंधित असू शकतात हे समजणे हे अत्यंत अवघड बनवते. जे बांधले आहे ते स्त्रोत कोडशी जुळेल याची शाश्वती नाही.

गुगलने प्रस्तावित केलेल्या चौकटीत, या अडचणीला विशिष्ट उद्दीष्टांसह तीन मुख्य समस्या असलेल्या भागात विभाजित करण्याचे सुचविले आहे:

आपल्या सॉफ्टवेअरची असुरक्षा जाणून घ्या

आपल्या सॉफ्टवेअर असुरक्षा जाणून घेणे आपल्या अपेक्षेपेक्षा जास्त अवघड आहे अनेक कारणांसाठी. हो ठीक आहे असुरक्षा नोंदवण्यासाठी यंत्रणा अस्तित्त्वात आहेत, आपण वापरत असलेल्या सॉफ्टवेअरच्या विशिष्ट आवृत्त्यांचा त्यांना खरोखरच प्रभाव पडत असल्यास हे अस्पष्ट आहे:

  • लक्ष्य: अचूक असुरक्षा डेटा: सर्वप्रथम, सर्व उपलब्ध डेटा स्रोतांमधून अचूक असुरक्षा मेटाडेटा हस्तगत करणे गंभीर आहे. उदाहरणार्थ, कोणत्या आवृत्तीत असुरक्षा आणली गेली हे जाणून घेणे सॉफ्टवेअरवर परिणाम झाला आहे की नाही हे निश्चित करण्यात मदत करते आणि पॅच केले गेले आहे हे जाणून घेणे अचूक आणि वेळेवर निराकरण करते (आणि संभाव्य शोषणासाठी एक अरुंद विंडो). तद्वतच, हे वर्गीकरण वर्कफ्लो स्वयंचलित केले जावे.
  • दुसरे म्हणजे, आपण लिहीत असलेल्या किंवा थेट नियंत्रित केलेल्या कोडऐवजी बहुतेक असुरक्षा आपल्या अवलंबित्व वर अवलंबून असतात. म्हणूनच आपला कोड बदलत नसला तरीही आपल्या सॉफ्टवेअरवर परिणाम करणारे असुरक्षांचे लँडस्केप सतत बदलू शकतात - काही निश्चित केले जातात आणि काही जोडले जातात.
  • हेतू: असुरक्षा डेटाबेससाठी मानक स्कीमा, मुक्त स्त्रोत असुरक्षा ट्रॅक करण्यास आणि त्यांची देखरेख करण्यासाठी, त्यांचे परिणाम समजून घेण्यासाठी आणि त्यांचे शमन व्यवस्थापित करणे आवश्यक आहे. मानक असुरक्षा योजना सामान्य साधनांना एकाधिक असुरक्षा डेटाबेसवर चालण्याची आणि ट्रॅकिंगचे कार्य सुलभ करण्याची परवानगी देते, विशेषतः जेव्हा असुरक्षा एकाधिक भाषा किंवा उपप्रणाली ओलांडतात.

नवीन असुरक्षा जोडणे टाळा

असुरक्षा निर्माण करणे टाळणे योग्य होईल आणि चाचणी आणि विश्लेषण साधने मदत करू शकतात, प्रतिबंध नेहमीच एक कठीण विषय असेल.

येथे, गुगलने दोन विशिष्ट बाबींवर लक्ष केंद्रित करण्याचा प्रस्ताव दिला आहेः

  • नवीन अवलंबित्वाचा निर्णय घेताना जोखीम समजून घ्या
  • गंभीर सॉफ्टवेयर विकास प्रक्रिया सुधारित करा

असुरक्षा दुरुस्त करा किंवा काढा

Google कबूल करते की दुरुस्तीची सामान्य समस्या त्याच्या कार्यक्षेत्राच्या पलीकडे आहे, परंतु या समस्येचे निराकरण करण्यासाठी कलाकार बरेच काही करू शकतात यावर प्रकाशकाचा विश्वास आहे अवलंबित्वांमध्ये असुरक्षा व्यवस्थापित करण्यासाठी विशिष्ट.

हे देखील नमूद: 

“आज या आघाडीवर फारशी मदत झाली आहे, परंतु जसजसे आपण अचूकता सुधारत आहात तसे नवीन प्रक्रिया आणि साधनांमध्ये गुंतवणूक करणे फायद्याचे आहे.

“एक पर्याय अर्थातच असुरक्षा थेट पॅच करणे होय. जर आपण हे मागास सुसंगत मार्गाने करू शकत असाल तर समाधान प्रत्येकासाठी उपलब्ध आहे. परंतु आव्हान असे आहे की आपल्याकडे समस्या असण्याची शक्यता किंवा बदल करण्याची थेट क्षमता असण्याची शक्यता नाही. असुरक्षिततेचे निराकरण देखील असे गृहीत धरते की सॉफ्टवेअर टिकवून ठेवण्यासाठी जबाबदार असणार्‍यांना समस्येची जाणीव आहे आणि असुरक्षा प्रकट करण्याचे ज्ञान आणि संसाधने आहेत.

स्त्रोत: https://security.googleblog.com


आपली टिप्पणी द्या

आपला ई-मेल पत्ता प्रकाशित केला जाणार नाही. आवश्यक फील्ड चिन्हांकित केले आहेत *

*

*

  1. डेटासाठी जबाबदार: AB इंटरनेट नेटवर्क 2008 SL
  2. डेटाचा उद्देशः नियंत्रण स्पॅम, टिप्पणी व्यवस्थापन.
  3. कायदे: आपली संमती
  4. डेटा संप्रेषण: कायदेशीर बंधन वगळता डेटा तृतीय पक्षास कळविला जाणार नाही.
  5. डेटा संग्रहण: ओकेन्टस नेटवर्क (EU) द्वारा होस्ट केलेला डेटाबेस
  6. अधिकारः कोणत्याही वेळी आपण आपली माहिती मर्यादित, पुनर्प्राप्त आणि हटवू शकता.

  1.   जोस अँटोनियो म्हणाले
    बनवते 3 वर्षे

    मूळ इंग्रजी म्हणतो:

    येथे आम्ही दोन विशिष्ट बाबींवर लक्ष केंद्रित करतोः

    - नवीन अवलंबित्वाचा निर्णय घेताना जोखीम समजणे

    - गंभीर सॉफ्टवेअरसाठी विकास प्रक्रिया सुधारणे

    आवृत्ती "LinuxAdictos" म्हणतो:

    येथे, Google ने दोन विशिष्ट बाबींवर लक्ष केंद्रित करण्याचा प्रस्ताव दिला आहेः

    - नवीन व्यसन निवडताना जोखीम समजून घ्या.

    - गंभीर सॉफ्टवेअर विकास प्रक्रियेची सुधारणा

    एक नवीन व्यसन !?

    जोसे अँटोनियोला प्रत्युत्तर द्या