திறந்த மூல பாதுகாப்பை மேம்படுத்த புதிய விதிகளை நிறுவ கூகிள் முன்மொழிகிறது

Darkcrizt

4 நிமிடங்கள்

திறந்த மூல மென்பொருளின் பாதுகாப்பு தொழில்துறையின் கவனத்தை ஈர்த்துள்ளது, ஆனால் தீர்வுகளுக்கு சவால்கள் மற்றும் செயல்படுத்துவதில் ஒத்துழைப்பு குறித்து ஒருமித்த கருத்து தேவைப்படுகிறது.

சிக்கல் சிக்கலானது மற்றும் மறைக்க பல அம்சங்கள் உள்ளன, விநியோகச் சங்கிலி, சார்பு மேலாண்மை, அடையாளம் போன்றவற்றிலிருந்து. இதைச் செய்ய, கூகிள் சமீபத்தில் ஒரு கட்டமைப்பை ("தெரிந்து, தடு, சரிசெய்தல்") வெளியிட்டது, இது திறந்த மூலத்தில் உள்ள பாதிப்புகள் மற்றும் முதலில் கவனிக்கப்பட வேண்டிய குறிப்பிட்ட பகுதிகளில் தொழில் எவ்வாறு சிந்திக்க முடியும் என்பதை விளக்குகிறது.

கூகிள் அதன் காரணங்களை விளக்குகிறது:

"சமீபத்திய நிகழ்வுகள் காரணமாக, விநியோகச் சங்கிலி தாக்குதல்களின் உண்மையான ஆபத்து குறித்து மென்பொருள் உலகம் ஆழமான புரிதலைப் பெற்றுள்ளது. திறந்த குறியீட்டு மென்பொருளானது பாதுகாப்பு கண்ணோட்டத்தில் குறைவான ஆபத்தானதாக இருக்க வேண்டும், ஏனெனில் அனைத்து குறியீடுகளும் சார்புகளும் திறந்தவை மற்றும் ஆய்வு மற்றும் சரிபார்ப்புக்கு கிடைக்கின்றன. இது பொதுவாக உண்மையாக இருக்கும்போது, ​​மக்கள் உண்மையில் இந்த ஆய்வுப் பணியைச் செய்கிறார்கள் என்று கருதப்படுகிறது. பல சார்புகளுடன், அவை அனைத்தையும் கண்காணிக்க இயலாது மற்றும் பல திறந்த மூல தொகுப்புகள் சரியாக பராமரிக்கப்படவில்லை.

“ஒரு நிரல் ஆயிரக்கணக்கான தொகுப்புகள் மற்றும் நூலகங்களை நேரடியாகவோ மறைமுகமாகவோ சார்ந்து இருப்பது பொதுவானது. எடுத்துக்காட்டாக, குபெர்னெட்ஸ் இப்போது சுமார் 1000 தொகுப்புகளைப் பொறுத்தது. திறந்த மூலமானது தனியுரிம மென்பொருளைக் காட்டிலும் சார்புகளைப் பயன்படுத்துகிறது மற்றும் பரந்த அளவிலான விற்பனையாளர்களிடமிருந்து வருகிறது; நம்பக்கூடிய சுயாதீன நிறுவனங்களின் எண்ணிக்கை மிகப் பெரியதாக இருக்கும். தயாரிப்புகளில் திறந்த மூல எவ்வாறு பயன்படுத்தப்படுகிறது மற்றும் எந்த பாதிப்புகள் பொருத்தமானதாக இருக்கலாம் என்பதைப் புரிந்துகொள்வது இது மிகவும் கடினம். கட்டப்பட்டவை மூலக் குறியீட்டோடு பொருந்தும் என்பதற்கு எந்த உத்தரவாதமும் இல்லை.

கூகிள் முன்மொழியப்பட்ட கட்டமைப்பிற்குள், இந்த சிரமத்தை மூன்று பெரிய சுயாதீன சிக்கல் பகுதிகளாக பிரிக்க பரிந்துரைக்கப்படுகிறது, ஒவ்வொன்றும் குறிப்பிட்ட குறிக்கோள்களுடன்:

உங்கள் மென்பொருளின் பாதிப்புகளை அறிந்து கொள்ளுங்கள்

உங்கள் மென்பொருள் பாதிப்புகளை அறிவது நீங்கள் எதிர்பார்ப்பதை விட கடினம் பல காரணங்களுக்காக. ஆம் சரி பாதிப்புகளைப் புகாரளிக்க வழிமுறைகள் உள்ளன, நீங்கள் பயன்படுத்தும் மென்பொருளின் குறிப்பிட்ட பதிப்புகளை அவை உண்மையில் பாதிக்கிறதா என்பது தெளிவாக இல்லை:

  • குறிக்கோள்: துல்லியமான பாதிப்புத் தரவு: முதலில், கிடைக்கக்கூடிய அனைத்து தரவு மூலங்களிலிருந்தும் துல்லியமான பாதிப்பு மெட்டாடேட்டாவைப் பிடிக்க வேண்டியது அவசியம். எடுத்துக்காட்டாக, எந்த பதிப்பை பாதிக்கக்கூடிய தன்மையை அறிமுகப்படுத்தியது என்பது மென்பொருள் பாதிக்கப்பட்டுள்ளதா என்பதைத் தீர்மானிக்க உதவுகிறது, மேலும் இது துல்லியமான மற்றும் சரியான நேரத்தில் திருத்தங்களை (மற்றும் சாத்தியமான சுரண்டலுக்கான குறுகிய சாளரம்) இணைக்கப்படுவதை அறிவது. வெறுமனே, இந்த வகைப்பாடு பணிப்பாய்வு தானியங்கி செய்யப்பட வேண்டும்.
  • இரண்டாவதாக, நீங்கள் நேரடியாக எழுதும் அல்லது கட்டுப்படுத்தும் குறியீட்டைக் காட்டிலும் பெரும்பாலான பாதிப்புகள் உங்கள் சார்புகளில் உள்ளன. எனவே உங்கள் குறியீடு மாறாவிட்டாலும் கூட, உங்கள் மென்பொருளைப் பாதிக்கும் பாதிப்புகளின் நிலப்பரப்பு தொடர்ந்து மாறக்கூடும் - சில சரி செய்யப்பட்டு சில சேர்க்கப்படுகின்றன.
  • நோக்கம்: பாதிப்பு தரவுத்தளங்களுக்கான நிலையான திட்டம் திறந்த மூல பாதிப்புகளைக் கண்டறிந்து பராமரிக்க, அவற்றின் விளைவுகளைப் புரிந்துகொள்ள மற்றும் அவற்றின் தணிப்புகளை நிர்வகிக்க உள்கட்டமைப்பு மற்றும் தொழில் தரநிலைகள் தேவை. ஒரு நிலையான பாதிப்புத் திட்டம் பொதுவான கருவிகளை பல பாதிப்பு தரவுத்தளங்களில் இயக்க அனுமதிக்கும் மற்றும் கண்காணிக்கும் பணியை எளிதாக்குகிறது, குறிப்பாக பாதிப்புகள் பல மொழிகள் அல்லது துணை அமைப்புகளை கடக்கும்போது.

புதிய பாதிப்புகளைச் சேர்ப்பதைத் தவிர்க்கவும்

பாதிப்புகளை உருவாக்குவதைத் தவிர்ப்பது சிறந்தது சோதனை மற்றும் பகுப்பாய்வு கருவிகள் உதவக்கூடும், தடுப்பு எப்போதும் கடினமான விஷயமாக இருக்கும்.

இங்கே, கூகிள் இரண்டு குறிப்பிட்ட அம்சங்களில் கவனம் செலுத்த முன்மொழிகிறது:

  • புதிய சார்புநிலையை தீர்மானிக்கும்போது ஏற்படும் அபாயங்களைப் புரிந்து கொள்ளுங்கள்
  • முக்கியமான மென்பொருள் மேம்பாட்டு செயல்முறைகளை மேம்படுத்தவும்

பாதிப்புகளை சரிசெய்ய அல்லது அகற்றவும்

பொதுவான பழுதுபார்ப்பு சிக்கல் அதன் எல்லைக்கு அப்பாற்பட்டது என்பதை கூகிள் ஒப்புக்கொள்கிறது, ஆனால் பிரச்சினையை தீர்க்க நடிகர்கள் செய்யக்கூடியது இன்னும் அதிகம் என்று வெளியீட்டாளர் நம்புகிறார் சார்புகளில் பாதிப்புகளை நிர்வகிக்க குறிப்பிட்டது.

இது குறிப்பிடுகிறது: 

"இன்று இந்த முன்னணியில் சிறிய உதவி இல்லை, ஆனால் நாங்கள் துல்லியத்தை மேம்படுத்துகையில், புதிய செயல்முறைகள் மற்றும் கருவிகளில் முதலீடு செய்ய இது பணம் செலுத்துகிறது.

"ஒரு விருப்பம், நிச்சயமாக, பாதிப்பை நேரடியாக இணைப்பதாகும். பின்தங்கிய இணக்கமான வழியில் இதை நீங்கள் செய்ய முடிந்தால், தீர்வு அனைவருக்கும் கிடைக்கும். ஆனால் சவால் என்னவென்றால், நீங்கள் பிரச்சினையில் அனுபவம் அல்லது மாற்றங்களைச் செய்வதற்கான நேரடி திறனைப் பெற வாய்ப்பில்லை. ஒரு பாதிப்பை சரிசெய்வது மென்பொருளைப் பராமரிப்பதற்குப் பொறுப்பானவர்கள் சிக்கலை அறிந்திருப்பதாகவும், பாதிப்பை வெளிப்படுத்த அறிவு மற்றும் ஆதாரங்களைக் கொண்டிருப்பதாகவும் கருதுகிறது.

மூல: https://security.googleblog.com


உங்கள் கருத்தை தெரிவிக்கவும்

உங்கள் மின்னஞ்சல் முகவரி வெளியிடப்பட்ட முடியாது. தேவையான புலங்கள் குறிக்கப்பட்டிருக்கும் *

*

*

  1. தரவுகளுக்குப் பொறுப்பு: AB இன்டர்நெட் நெட்வொர்க்ஸ் 2008 SL
  2. தரவின் நோக்கம்: கட்டுப்பாட்டு ஸ்பேம், கருத்து மேலாண்மை.
  3. சட்டபூர்வமாக்கல்: உங்கள் ஒப்புதல்
  4. தரவின் தொடர்பு: சட்டபூர்வமான கடமையால் தவிர மூன்றாம் தரப்பினருக்கு தரவு தெரிவிக்கப்படாது.
  5. தரவு சேமிப்பு: ஆக்சென்டஸ் நெட்வொர்க்குகள் (EU) வழங்கிய தரவுத்தளம்
  6. உரிமைகள்: எந்த நேரத்திலும் உங்கள் தகவல்களை நீங்கள் கட்டுப்படுத்தலாம், மீட்டெடுக்கலாம் மற்றும் நீக்கலாம்.

  1.   ஜோஸ் அண்டோனியோ அவர் கூறினார்
    முன்பு 3 ஆண்டுகள்

    ஆங்கிலத்தில் அசல் கூறுகிறது:

    இங்கே நாம் இரண்டு குறிப்பிட்ட அம்சங்களில் கவனம் செலுத்துகிறோம்:

    - புதிய சார்புநிலையை தீர்மானிக்கும்போது அபாயங்களைப் புரிந்துகொள்வது

    - முக்கியமான மென்பொருளுக்கான மேம்பாட்டு செயல்முறைகளை மேம்படுத்துதல்

    பதிப்பு "LinuxAdictos" கூறுகிறது:

    இங்கே, கூகிள் இரண்டு குறிப்பிட்ட அம்சங்களில் கவனம் செலுத்த முன்மொழிகிறது:

    - புதிய போதைப்பொருளைத் தேர்ந்தெடுக்கும்போது ஏற்படும் அபாயங்களைப் புரிந்து கொள்ளுங்கள்.

    - முக்கியமான மென்பொருள் மேம்பாட்டு செயல்முறைகளின் மேம்பாடு

    ஒரு புதிய போதை!?

    ஜோஸ் அன்டோனியோவுக்கு பதில்