Гоогле предлаже успостављање нових правила за побољшање сигурности отвореног кода

Darkcrizt

КСНУМКС Минутос

Сигурност софтвера отвореног кода привукла је пажњу индустрије, али решења захтевају консензус о изазовима и сарадњу у примени.

Проблем је сложен и постоји много аспеката које треба покрити, из ланца снабдевања, управљања зависношћу, идентитета, између осталог. Да би то урадио, Гоогле је недавно објавио оквир („Знај, спречи, поправи“) који објашњава како индустрија може да размишља о рањивостима у отвореном коду и одређеним областима које треба прво решити.

Гоогле објашњава своје разлоге:

„Због недавних догађаја, свет софтвера стекао је дубље разумевање стварног ризика од напада на ланац снабдевања. Софтвер отвореног кода требао би бити мање ризичан из сигурносне перспективе, јер су сви кодови и зависности отворени и доступни за инспекцију и верификацију. И док је ово генерално тачно, претпоставља се да људи заправо раде овај посао инспекције. Са толико много зависности, немогуће је надгледати све њих и многи пакети отвореног кода нису добро одржавани.

„Уобичајено је да програм зависи, директно или индиректно, од хиљада пакета и библиотека. На пример, Кубернетес сада зависи од око 1000 пакета. Опен соурце вероватно користи зависности уместо власничког софтвера и долази од ширег спектра добављача; број независних ентитета којима се може веровати може бити веома велик. То изузетно отежава разумевање како се отворени код користи у производима и које рањивости могу бити релевантне. Такође не постоји гаранција да ће се изграђено подударати са изворним кодом.

У оквиру који је предложио Гоогле, предлаже се да се ова потешкоћа подели на три углавном независна проблемска подручја, од којих свако има одређене циљеве:

Упознајте рањивости свог софтвера

Упознавање рањивости софтвера је теже него што бисте могли очекивати из много разлога. да у реду постоје механизми за пријављивање рањивости, нејасно је да ли заиста утичу на одређене верзије софтвера који користите:

  • Циљ: Тачни подаци о рањивости: Прво, пресудно је прикупити тачне метаподатке о рањивости из свих доступних извора података. На пример, сазнање која је верзија увела рањивост помаже да се утврди да ли је софтвер погођен, а сазнање када је исправљен резултира тачним и правовременим поправцима (и уским прозором за потенцијалну експлоатацију). Идеално би било да овај ток класификације буде аутоматизован.
  • Друго, већина рањивости је у вашим зависностима, а не у коду који директно пишете или контролишете. Дакле, чак и када се ваш код не мења, предео рањивости који утичу на ваш софтвер може се непрестано мењати - неке су исправљене, а неке додате.
  • Сврха: Стандардна шема за базе података о рањивости Инфраструктура и индустријски стандарди су потребни за праћење и одржавање рањивости отвореног кода, разумевање њихових последица и управљање њиховим ублажавањима. Стандардна шема рањивости омогућила би уобичајене алате за рад на више база података о рањивости и поједноставила задатак праћења, посебно када рањивости прелазе више језика или подсистема.

Избегавајте додавање нових рањивости

Било би идеално избећи стварање рањивости И док алати за тестирање и анализу могу помоћи, превенција ће увек бити тешка тема.

Ево, Гоогле предлаже да се усредсреди на два специфична аспекта:

  • Разумевање ризика приликом доношења одлуке о новој зависности
  • Побољшати критичне процесе развоја софтвера

Поправите или уклоните рањивости

Гоогле признаје да је општи проблем поправке изван његове надлежности, али издавач верује да глумци могу учинити много више за решавање проблема специфичне за управљање рањивостима у зависностима.

Такође се помиње: 

„Данас је мало помоћи на овом плану, али како побољшавамо тачност, исплати се улагати у нове процесе и алате.

„Једна од могућности је, наравно, директно закрпати рањивост. Ако то можете учинити на компатибилан начин, решење је доступно свима. Али изазов је тај што је мало вероватно да ћете имати искуства са проблемом или директну способност да направите промене. Отклањање рањивости такође подразумева да су одговорни за одржавање софтвера свесни проблема и да поседују знање и ресурсе за откривање рањивости.

izvor: https://security.googleblog.com


Оставите свој коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена са *

*

*

  1. Odgovorni za podatke: AB Internet Networks 2008 SL
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.

  1.   Јосе Антонио дијо
    чини КСНУМКС година

    Оригинал на енглеском каже:

    Овде се фокусирамо на два специфична аспекта:

    - Разумевање ризика при одлучивању о новој зависности

    - Побољшање развојних процеса за критични софтвер

    Верзија "LinuxAdictos“ каже:

    Овде Гоогле предлаже да се усредсреди на два специфична аспекта:

    - Разумети ризике приликом избора нове зависности.

    - Побољшање критичних процеса развоја софтвера

    Нова зависност!?

    Одговор Јосеу Антонију