Google predlaga vzpostavitev novih pravil za izboljšanje odprtokodne varnosti

Darkcrizt

4 minut

Varnost odprtokodne programske opreme je pritegnila pozornost industrije, vendar rešitve zahtevajo soglasje o izzivih in sodelovanje pri izvajanju.

Problem je zapleten in veliko vidikov je treba pokriti, med drugim iz dobavne verige, upravljanja odvisnosti, identitete. Da bi to naredil, je Google nedavno izdal ogrodje (»Know, Prevent, Fix«), ki pojasnjuje, kako lahko industrija razmišlja o ranljivostih v odprtokodni kodi in na določenih področjih, ki jih je treba najprej obravnavati.

Google pojasnjuje svoje razloge:

»Zaradi nedavnih dogodkov je svet programske opreme poglobil resnično tveganje napadov na dobavno verigo. Odprtokodna programska oprema bi morala biti z varnostnega vidika manj tvegana, saj so vse kode in odvisnosti odprte in na voljo za pregled in preverjanje. In čeprav je to na splošno res, se domneva, da ljudje dejansko opravljajo to inšpekcijsko delo. S toliko odvisnostmi je nemogoče nadzirati vse in mnogi odprtokodni paketi niso dobro vzdrževani.

»Običajno je, da je program neposredno ali posredno odvisen od tisočih paketov in knjižnic. Na primer, Kubernetes je zdaj odvisen od približno 1000 paketov. Odprtokod verjetno uporablja odvisnosti namesto lastniške programske opreme in prihaja iz širšega kroga ponudnikov; število neodvisnih entitet, ki jim je mogoče zaupati, je lahko zelo veliko. Zaradi tega je zelo težko razumeti, kako se odprtokodna programska oprema uporablja v izdelkih in katere ranljivosti so lahko pomembne. Prav tako ni nobenega zagotovila, da se zgrajeno ujema z izvorno kodo.

V okviru, ki ga predlaga Google, je predlagano, da to težavo razdelimo na tri v glavnem neodvisna problemska področja, od katerih ima vsako posebne cilje:

Spoznajte ranljivosti svoje programske opreme

Poznavanje ranljivosti programske opreme je težje, kot bi lahko pričakovali iz večih razlogov. ja v redu obstajajo mehanizmi za poročanje o ranljivostih, ni jasno, ali resnično vplivajo na določene različice programske opreme, ki jo uporabljate:

  • Cilj: Natančni podatki o ranljivosti: Najprej je nujno zajeti natančne metapodatke o ranljivosti iz vseh razpoložljivih virov podatkov. Na primer, če vemo, katera različica je uvedla ranljivost, lahko ugotovimo, ali je programska oprema prizadeta, in vedeti, kdaj je bila popravljena, povzroči natančne in pravočasne popravke (in ozko okno za potencialno izkoriščanje). V idealnem primeru bi bilo treba ta potek razvrščanja avtomatizirati.
  • Drugič, večina ranljivosti je v vaših odvisnostih in ne v kodi, ki jo pišete ali nadzirate neposredno. Tudi kadar se vaša koda ne spremeni, se lahko vrsta ranljivosti, ki vplivajo na vašo programsko opremo, nenehno spreminja - nekatere so popravljene, nekatere pa dodane.
  • Namen: Standardna shema za zbirke podatkov o ranljivostih Infrastrukturni in industrijski standardi so potrebni za sledenje in vzdrževanje odprtokodnih ranljivosti, razumevanje njihovih posledic in upravljanje njihovih ublažitev. Standardna shema ranljivosti bi omogočila izvajanje običajnih orodij v več zbirkah podatkov o ranljivosti in poenostavila nalogo sledenja, zlasti kadar ranljivosti prečkajo več jezikov ali podsistemov.

Izogibajte se dodajanju novih ranljivosti

Idealno bi bilo, če bi se izognili ustvarjanju ranljivosti In čeprav lahko orodja za testiranje in analizo pomagajo, bo preventiva vedno težka tema.

Tukaj, Google predlaga osredotočenje na dva posebna vidika:

  • Razumevanje tveganj pri odločanju o novi odvisnosti
  • Izboljšajte kritične procese razvoja programske opreme

Popravite ali odstranite ranljivosti

Google priznava, da splošni problem popravila presega njegovo pristojnost, vendar založnik verjame, da lahko igralci za reševanje problema naredijo veliko več specifično za upravljanje ranljivosti v odvisnostih.

Omenja tudi: 

»Danes je na tem področju malo pomoči, a ker izboljšujemo natančnost, se splača vlagati v nove procese in orodja.

»Ena od možnosti je seveda, da se ranljivost popravi neposredno. Če lahko to storite na nazaj združljiv način, je rešitev na voljo vsem. Toda izziv je v tem, da verjetno ne boste imeli izkušenj s težavo ali neposredne zmožnosti sprememb. Odprava ranljivosti predpostavlja tudi, da se odgovorni za vzdrževanje programske opreme zavedajo težave in imajo znanje in vire za razkritje ranljivosti.

vir: https://security.googleblog.com


Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Odgovoren za podatke: AB Internet Networks 2008 SL
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.

  1.   José Antonio je dejal
    nazaj 3 let

    Izvirnik v angleščini pravi:

    Tu se osredotočimo na dva posebna vidika:

    - Razumevanje tveganj pri odločanju o novi odvisnosti

    - Izboljšanje razvojnih procesov za kritično programsko opremo

    Različica "LinuxAdictos« pravi:

    Tu Google predlaga, da se osredotoči na dva posebna vidika:

    - Razumevanje tveganj pri izbiri nove odvisnosti.

    - Izboljšanje kritičnih procesov razvoja programske opreme

    Nova odvisnost!?

    Odgovor Joséju Antoniju