Google mencadangkan untuk menetapkan peraturan baru untuk meningkatkan keselamatan sumber terbuka

Darkcrizt

Minit 4

Keselamatan perisian sumber terbuka telah menarik perhatian industri, tetapi penyelesaiannya memerlukan konsensus mengenai cabaran dan kerjasama dalam pelaksanaannya.

Masalahnya adalah rumit dan ada banyak aspek yang perlu diliputi, dari rantaian bekalan, pengurusan pergantungan, identiti, antara lain. Untuk melakukan ini, Google baru-baru ini melancarkan kerangka kerja ("Ketahui, Cegah, Perbaiki") yang menerangkan bagaimana industri dapat memikirkan kerentanan di sumber terbuka dan bidang tertentu yang perlu ditangani terlebih dahulu.

Google menerangkan sebabnya:

"Kerana peristiwa baru-baru ini, dunia perisian telah memperoleh pemahaman yang lebih mendalam tentang risiko sebenar serangan rantai bekalan. Perisian sumber terbuka semestinya kurang berisiko dari perspektif keselamatan, kerana semua kod dan pergantungan terbuka dan tersedia untuk pemeriksaan dan pengesahan. Dan walaupun ini secara umum berlaku, diandaikan bahawa orang sebenarnya melakukan kerja pemeriksaan ini. Dengan begitu banyak kebergantungan, mustahil untuk memantau semuanya dan banyak pakej sumber terbuka tidak dijaga dengan baik.

“Adalah biasa bagi program untuk bergantung, secara langsung atau tidak langsung, pada ribuan pakej dan perpustakaan. Sebagai contoh, Kubernetes kini bergantung pada sekitar 1000 pakej. Sumber terbuka mungkin menggunakan kebergantungan dan bukannya perisian proprietari dan berasal dari rangkaian vendor yang lebih luas; bilangan entiti bebas yang boleh dipercayai boleh menjadi sangat besar. Ini menjadikannya sangat sukar untuk memahami bagaimana sumber terbuka digunakan dalam produk dan kerentanan apa yang mungkin relevan. Tidak ada jaminan bahawa apa yang dibina akan sesuai dengan kod sumber.

Dalam kerangka yang diusulkan oleh Google, disarankan untuk membahagikan kesulitan ini kepada tiga bidang masalah yang bebas, masing-masing dengan objektif tertentu:

Ketahui kelemahan perisian anda

Mengetahui kelemahan perisian anda lebih sukar daripada yang anda jangkakan kerana banyak sebab. Ya baik mekanisme wujud untuk melaporkan kerentanan, tidak jelas apakah perisian tersebut benar-benar mempengaruhi versi perisian yang anda gunakan:

  • Matlamat: Data Kerentanan yang Tepat: Pertama, sangat penting untuk menangkap metadata kerentanan yang tepat dari semua sumber data yang ada. Sebagai contoh, mengetahui versi mana yang memperkenalkan kerentanan membantu menentukan apakah perisian terpengaruh, dan mengetahui kapan perisian tersebut ditambal akan menghasilkan pembetulan yang tepat dan tepat pada masanya (dan jendela sempit untuk potensi eksploitasi) Sebaik-baiknya, aliran kerja klasifikasi ini harus automatik.
  • Kedua, kebanyakan kelemahan terletak pada kebergantungan anda, dan bukannya pada kod yang anda tulis atau kendalikan secara langsung. Jadi walaupun kod anda tidak berubah, lanskap kerentanan yang mempengaruhi perisian anda dapat terus berubah - ada yang tetap, ada yang ditambahkan.
  • Tujuan: Skema standard untuk pangkalan data kerentanan Infrastruktur dan standard industri diperlukan untuk mengesan dan menjaga kerentanan sumber terbuka, memahami akibatnya, dan menguruskan pengurangannya. Skema kerentanan standard akan membolehkan alat-alat umum berjalan di beberapa pangkalan data kerentanan dan mempermudah tugas mengesan, terutama ketika kerentanan melintasi beberapa bahasa atau subsistem.

Elakkan menambahkan kelemahan baru

Sangat sesuai untuk mengelakkan berlakunya kerentanan Walaupun alat ujian dan analisis dapat membantu, pencegahan akan selalu menjadi subjek yang sukar.

Di sini, Google mencadangkan untuk memberi tumpuan kepada dua aspek tertentu:

  • Memahami risiko ketika memutuskan kebergantungan baru
  • Meningkatkan proses pembangunan perisian yang kritikal

Membaiki atau menghilangkan kerentanan

Google mengakui bahawa masalah pembaikan umum adalah di luar bidangnya, tetapi penerbit percaya ada banyak lagi yang boleh dilakukan oleh pelakon untuk mengatasi masalah tersebut khusus untuk menguruskan kerentanan dalam kebergantungan.

Ia juga menyebut: 

"Hari ini ada sedikit pertolongan di bidang ini, tetapi ketika kami meningkatkan ketepatan, ada baiknya melabur dalam proses dan alat baru.

"Satu pilihan, tentu saja, adalah memperbaiki kerentanan secara langsung. Sekiranya anda dapat melakukan ini dengan cara yang serasi ke belakang, penyelesaiannya tersedia untuk semua orang. Tetapi cabarannya adalah anda tidak mungkin mempunyai pengalaman dengan masalah tersebut atau kemampuan langsung untuk membuat perubahan. Memperbaiki kerentanan juga beranggapan bahawa mereka yang bertanggungjawab untuk menyelenggarakan perisian menyedari masalah tersebut dan memiliki pengetahuan dan sumber untuk mengungkapkan kerentanan tersebut.

Fuente: https://security.googleblog.com


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab untuk data: AB Internet Networks 2008 SL
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.

  1.   José Antonio kata
    membuat 3 tahun

    Asal dalam bahasa Inggeris mengatakan:

    Di sini kita memberi tumpuan kepada dua aspek khusus:

    - Memahami risiko ketika memutuskan kebergantungan baru

    - Meningkatkan proses pembangunan perisian kritikal

    Versi "LinuxAdictos"berkata:

    Di sini, Google mencadangkan untuk memberi tumpuan kepada dua aspek tertentu:

    - Memahami risiko ketika memilih ketagihan baru.

    - Penambahbaikan proses pengembangan perisian kritikal

    Ketagihan baru !?

    Balas José Antonio