திறந்த மூல மென்பொருளின் பாதுகாப்பு தொழில்துறையின் கவனத்தை ஈர்த்துள்ளது, ஆனால் தீர்வுகளுக்கு சவால்கள் மற்றும் செயல்படுத்துவதில் ஒத்துழைப்பு குறித்து ஒருமித்த கருத்து தேவைப்படுகிறது.
சிக்கல் சிக்கலானது மற்றும் மறைக்க பல அம்சங்கள் உள்ளன, விநியோகச் சங்கிலி, சார்பு மேலாண்மை, அடையாளம் போன்றவற்றிலிருந்து. இதைச் செய்ய, கூகிள் சமீபத்தில் ஒரு கட்டமைப்பை ("தெரிந்து, தடு, சரிசெய்தல்") வெளியிட்டது, இது திறந்த மூலத்தில் உள்ள பாதிப்புகள் மற்றும் முதலில் கவனிக்கப்பட வேண்டிய குறிப்பிட்ட பகுதிகளில் தொழில் எவ்வாறு சிந்திக்க முடியும் என்பதை விளக்குகிறது.
கூகிள் அதன் காரணங்களை விளக்குகிறது:
"சமீபத்திய நிகழ்வுகள் காரணமாக, விநியோகச் சங்கிலி தாக்குதல்களின் உண்மையான ஆபத்து குறித்து மென்பொருள் உலகம் ஆழமான புரிதலைப் பெற்றுள்ளது. திறந்த குறியீட்டு மென்பொருளானது பாதுகாப்பு கண்ணோட்டத்தில் குறைவான ஆபத்தானதாக இருக்க வேண்டும், ஏனெனில் அனைத்து குறியீடுகளும் சார்புகளும் திறந்தவை மற்றும் ஆய்வு மற்றும் சரிபார்ப்புக்கு கிடைக்கின்றன. இது பொதுவாக உண்மையாக இருக்கும்போது, மக்கள் உண்மையில் இந்த ஆய்வுப் பணியைச் செய்கிறார்கள் என்று கருதப்படுகிறது. பல சார்புகளுடன், அவை அனைத்தையும் கண்காணிக்க இயலாது மற்றும் பல திறந்த மூல தொகுப்புகள் சரியாக பராமரிக்கப்படவில்லை.
“ஒரு நிரல் ஆயிரக்கணக்கான தொகுப்புகள் மற்றும் நூலகங்களை நேரடியாகவோ மறைமுகமாகவோ சார்ந்து இருப்பது பொதுவானது. எடுத்துக்காட்டாக, குபெர்னெட்ஸ் இப்போது சுமார் 1000 தொகுப்புகளைப் பொறுத்தது. திறந்த மூலமானது தனியுரிம மென்பொருளைக் காட்டிலும் சார்புகளைப் பயன்படுத்துகிறது மற்றும் பரந்த அளவிலான விற்பனையாளர்களிடமிருந்து வருகிறது; நம்பக்கூடிய சுயாதீன நிறுவனங்களின் எண்ணிக்கை மிகப் பெரியதாக இருக்கும். தயாரிப்புகளில் திறந்த மூல எவ்வாறு பயன்படுத்தப்படுகிறது மற்றும் எந்த பாதிப்புகள் பொருத்தமானதாக இருக்கலாம் என்பதைப் புரிந்துகொள்வது இது மிகவும் கடினம். கட்டப்பட்டவை மூலக் குறியீட்டோடு பொருந்தும் என்பதற்கு எந்த உத்தரவாதமும் இல்லை.
கூகிள் முன்மொழியப்பட்ட கட்டமைப்பிற்குள், இந்த சிரமத்தை மூன்று பெரிய சுயாதீன சிக்கல் பகுதிகளாக பிரிக்க பரிந்துரைக்கப்படுகிறது, ஒவ்வொன்றும் குறிப்பிட்ட குறிக்கோள்களுடன்:
உங்கள் மென்பொருளின் பாதிப்புகளை அறிந்து கொள்ளுங்கள்
உங்கள் மென்பொருள் பாதிப்புகளை அறிவது நீங்கள் எதிர்பார்ப்பதை விட கடினம் பல காரணங்களுக்காக. ஆம் சரி பாதிப்புகளைப் புகாரளிக்க வழிமுறைகள் உள்ளன, நீங்கள் பயன்படுத்தும் மென்பொருளின் குறிப்பிட்ட பதிப்புகளை அவை உண்மையில் பாதிக்கிறதா என்பது தெளிவாக இல்லை:
- குறிக்கோள்: துல்லியமான பாதிப்புத் தரவு: முதலில், கிடைக்கக்கூடிய அனைத்து தரவு மூலங்களிலிருந்தும் துல்லியமான பாதிப்பு மெட்டாடேட்டாவைப் பிடிக்க வேண்டியது அவசியம். எடுத்துக்காட்டாக, எந்த பதிப்பை பாதிக்கக்கூடிய தன்மையை அறிமுகப்படுத்தியது என்பது மென்பொருள் பாதிக்கப்பட்டுள்ளதா என்பதைத் தீர்மானிக்க உதவுகிறது, மேலும் இது துல்லியமான மற்றும் சரியான நேரத்தில் திருத்தங்களை (மற்றும் சாத்தியமான சுரண்டலுக்கான குறுகிய சாளரம்) இணைக்கப்படுவதை அறிவது. வெறுமனே, இந்த வகைப்பாடு பணிப்பாய்வு தானியங்கி செய்யப்பட வேண்டும்.
- இரண்டாவதாக, நீங்கள் நேரடியாக எழுதும் அல்லது கட்டுப்படுத்தும் குறியீட்டைக் காட்டிலும் பெரும்பாலான பாதிப்புகள் உங்கள் சார்புகளில் உள்ளன. எனவே உங்கள் குறியீடு மாறாவிட்டாலும் கூட, உங்கள் மென்பொருளைப் பாதிக்கும் பாதிப்புகளின் நிலப்பரப்பு தொடர்ந்து மாறக்கூடும் - சில சரி செய்யப்பட்டு சில சேர்க்கப்படுகின்றன.
- நோக்கம்: பாதிப்பு தரவுத்தளங்களுக்கான நிலையான திட்டம் திறந்த மூல பாதிப்புகளைக் கண்டறிந்து பராமரிக்க, அவற்றின் விளைவுகளைப் புரிந்துகொள்ள மற்றும் அவற்றின் தணிப்புகளை நிர்வகிக்க உள்கட்டமைப்பு மற்றும் தொழில் தரநிலைகள் தேவை. ஒரு நிலையான பாதிப்புத் திட்டம் பொதுவான கருவிகளை பல பாதிப்பு தரவுத்தளங்களில் இயக்க அனுமதிக்கும் மற்றும் கண்காணிக்கும் பணியை எளிதாக்குகிறது, குறிப்பாக பாதிப்புகள் பல மொழிகள் அல்லது துணை அமைப்புகளை கடக்கும்போது.
புதிய பாதிப்புகளைச் சேர்ப்பதைத் தவிர்க்கவும்
பாதிப்புகளை உருவாக்குவதைத் தவிர்ப்பது சிறந்தது சோதனை மற்றும் பகுப்பாய்வு கருவிகள் உதவக்கூடும், தடுப்பு எப்போதும் கடினமான விஷயமாக இருக்கும்.
இங்கே, கூகிள் இரண்டு குறிப்பிட்ட அம்சங்களில் கவனம் செலுத்த முன்மொழிகிறது:
- புதிய சார்புநிலையை தீர்மானிக்கும்போது ஏற்படும் அபாயங்களைப் புரிந்து கொள்ளுங்கள்
- முக்கியமான மென்பொருள் மேம்பாட்டு செயல்முறைகளை மேம்படுத்தவும்
பாதிப்புகளை சரிசெய்ய அல்லது அகற்றவும்
பொதுவான பழுதுபார்ப்பு சிக்கல் அதன் எல்லைக்கு அப்பாற்பட்டது என்பதை கூகிள் ஒப்புக்கொள்கிறது, ஆனால் பிரச்சினையை தீர்க்க நடிகர்கள் செய்யக்கூடியது இன்னும் அதிகம் என்று வெளியீட்டாளர் நம்புகிறார் சார்புகளில் பாதிப்புகளை நிர்வகிக்க குறிப்பிட்டது.
இது குறிப்பிடுகிறது:
"இன்று இந்த முன்னணியில் சிறிய உதவி இல்லை, ஆனால் நாங்கள் துல்லியத்தை மேம்படுத்துகையில், புதிய செயல்முறைகள் மற்றும் கருவிகளில் முதலீடு செய்ய இது பணம் செலுத்துகிறது.
"ஒரு விருப்பம், நிச்சயமாக, பாதிப்பை நேரடியாக இணைப்பதாகும். பின்தங்கிய இணக்கமான வழியில் இதை நீங்கள் செய்ய முடிந்தால், தீர்வு அனைவருக்கும் கிடைக்கும். ஆனால் சவால் என்னவென்றால், நீங்கள் பிரச்சினையில் அனுபவம் அல்லது மாற்றங்களைச் செய்வதற்கான நேரடி திறனைப் பெற வாய்ப்பில்லை. ஒரு பாதிப்பை சரிசெய்வது மென்பொருளைப் பராமரிப்பதற்குப் பொறுப்பானவர்கள் சிக்கலை அறிந்திருப்பதாகவும், பாதிப்பை வெளிப்படுத்த அறிவு மற்றும் ஆதாரங்களைக் கொண்டிருப்பதாகவும் கருதுகிறது.
மூல: https://security.googleblog.com
ஆங்கிலத்தில் அசல் கூறுகிறது:
இங்கே நாம் இரண்டு குறிப்பிட்ட அம்சங்களில் கவனம் செலுத்துகிறோம்:
- புதிய சார்புநிலையை தீர்மானிக்கும்போது அபாயங்களைப் புரிந்துகொள்வது
- முக்கியமான மென்பொருளுக்கான மேம்பாட்டு செயல்முறைகளை மேம்படுத்துதல்
பதிப்பு "LinuxAdictos" கூறுகிறது:
இங்கே, கூகிள் இரண்டு குறிப்பிட்ட அம்சங்களில் கவனம் செலுத்த முன்மொழிகிறது:
- புதிய போதைப்பொருளைத் தேர்ந்தெடுக்கும்போது ஏற்படும் அபாயங்களைப் புரிந்து கொள்ளுங்கள்.
- முக்கியமான மென்பொருள் மேம்பாட்டு செயல்முறைகளின் மேம்பாடு
ஒரு புதிய போதை!?