Google, açık kaynak güvenliğini iyileştirmek için yeni kurallar oluşturmayı teklif ediyor

Darkcrizt

4 minutos

Açık kaynak yazılımın güvenliği sektörün dikkatini çektiancak çözümler, uygulamada zorluklar ve işbirliği konusunda fikir birliği gerektirir.

Sorun karmaşık ve ele alınması gereken birçok yön var, tedarik zincirinden, bağımlılık yönetiminden, kimlikten ve diğer şeylerden. Bunu yapmak için Google kısa süre önce, endüstrinin açık kaynak ve öncelikle ele alınması gereken belirli alanlardaki güvenlik açıkları hakkında nasıl düşünebileceğini açıklayan bir çerçeve ("Bil, Önle, Düzelt") yayınladı.

Google nedenlerini açıklıyor:

“Son olaylar nedeniyle, yazılım dünyası tedarik zinciri saldırılarının gerçek riskine dair daha derin bir anlayış kazandı. Açık kaynaklı yazılım, güvenlik açısından daha az riskli olmalıdır, çünkü tüm kod ve bağımlılıklar açık ve inceleme ve doğrulama için kullanılabilir. Ve bu genellikle doğru olsa da, insanların aslında bu teftiş işini yaptıkları varsayılır. Bu kadar çok bağımlılıkla, hepsini izlemek imkansızdır ve birçok açık kaynak paketinin bakımı iyi yapılmamaktadır.

“Bir programın doğrudan veya dolaylı olarak binlerce paket ve kitaplığa bağımlı olması yaygındır. Örneğin, Kubernetes artık yaklaşık 1000 pakete bağlıdır. Açık kaynak muhtemelen özel mülk yazılım yerine bağımlılıklar kullanır ve daha geniş bir satıcı yelpazesinden gelir; güvenilebilecek bağımsız varlıkların sayısı çok büyük olabilir. Bu, ürünlerde açık kaynağın nasıl kullanıldığını ve hangi güvenlik açıklarının ilgili olabileceğini anlamayı son derece zorlaştırır. Ayrıca, inşa edilenin kaynak koduyla eşleşeceğine dair bir garanti de yoktur.

Google tarafından önerilen çerçeve içinde, bu zorluğun her biri belirli hedeflere sahip, büyük ölçüde bağımsız üç sorun alanına bölünmesi önerilmektedir:

Yazılımınızın güvenlik açıklarını bilin

Yazılım güvenlik açıklarınızı bilmek beklediğinizden daha zordur bir çok sebepten ötürü. Evet tamam güvenlik açıklarını bildirmek için mekanizmalar var, Kullandığınız yazılımın belirli sürümlerini gerçekten etkileyip etkilemedikleri belli değil:

  • Amaç: Doğru Güvenlik Açığı Verileri: Birincisi, tüm mevcut veri kaynaklarından doğru güvenlik açığı meta verilerini yakalamak çok önemlidir. Örneğin, hangi sürümün bir güvenlik açığı oluşturduğunu bilmek, yazılımın etkilenip etkilenmediğini belirlemeye yardımcı olur ve ne zaman yama uygulandığını bilmek doğru ve zamanında düzeltmelerle (ve olası kötüye kullanım için dar bir pencere) sonuçlanır. İdeal olarak, bu sınıflandırma iş akışı otomatikleştirilmelidir.
  • İkincisi, çoğu güvenlik açığı doğrudan yazdığınız veya kontrol ettiğiniz koddan ziyade sizin bağımlılıklarınızdadır. Dolayısıyla, kodunuz değişmese bile, yazılımınızı etkileyen güvenlik açıklarının görünümü sürekli değişebilir - bazıları sabitlenir ve bazıları eklenir.
  • Amaç: Güvenlik açığı veritabanları için standart şema Altyapı ve endüstri standartları, açık kaynak güvenlik açıklarını izlemek ve sürdürmek, sonuçlarını anlamak ve azaltıcı önlemleri yönetmek için gereklidir. Standart bir güvenlik açığı planı, ortak araçların birden çok güvenlik açığı veritabanında çalışmasına izin verir ve özellikle güvenlik açıkları birden çok dil veya alt sistemi geçtiğinde izleme görevini basitleştirir.

Yeni güvenlik açıkları eklemekten kaçının

Güvenlik açıklarının oluşmasını önlemek ideal olacaktır Test ve analiz araçları yardımcı olabilirken, önleme her zaman zor bir konu olacaktır.

Aqui, Google, iki özel konuya odaklanmayı önerir:

  • Yeni bir bağımlılığa karar verirken riskleri anlayın
  • Kritik yazılım geliştirme süreçlerini iyileştirin

Güvenlik açıklarını onarın veya kaldırın

Google, genel onarım sorununun kapsamının dışında olduğunu kabul eder, ancak yayıncı, aktörlerin sorunu çözmek için yapabilecekleri çok şey olduğuna inanıyor bağımlılıklardaki güvenlik açıklarını yönetmek için özel.

Ayrıca şunlardan da bahseder: 

Bugün bu konuda çok az yardım var, ancak doğruluğu artırdıkça yeni süreçlere ve araçlara yatırım yapmaya değer.

"Elbette bir seçenek, güvenlik açığını doğrudan yamamaktır. Bunu geriye dönük olarak uyumlu bir şekilde yapabiliyorsanız, çözüm herkes tarafından kullanılabilir. Ancak buradaki zorluk, problemle ilgili deneyime veya doğrudan değişiklik yapma yeteneğine sahip olma olasılığınızın düşük olmasıdır. Bir güvenlik açığının düzeltilmesi, aynı zamanda, yazılımın bakımından sorumlu olanların sorunun farkında olduğunu ve güvenlik açığını ifşa edecek bilgi ve kaynaklara sahip olduğunu varsayar.

kaynak: https://security.googleblog.com


Yorumunuzu bırakın

E-posta hesabınız yayınlanmayacak. Gerekli alanlar ile işaretlenmiştir *

*

*

  1. Verilerden sorumlu: AB Internet Networks 2008 SL
  2. Verilerin amacı: Kontrol SPAM, yorum yönetimi.
  3. Meşruiyet: Onayınız
  4. Verilerin iletilmesi: Veriler, yasal zorunluluk dışında üçüncü kişilere iletilmeyecektir.
  5. Veri depolama: Occentus Networks (AB) tarafından barındırılan veritabanı
  6. Haklar: Bilgilerinizi istediğiniz zaman sınırlayabilir, kurtarabilir ve silebilirsiniz.

  1.   José Antonio dijo
    önce 3 yıl

    Orijinal İngilizce diyor ki:

    Burada iki özel konuya odaklanıyoruz:

    - Yeni bir bağımlılığa karar verirken riskleri anlamak

    - Kritik yazılımlar için geliştirme süreçlerinin iyileştirilmesi

    Sürüm "LinuxAdictos" diyor:

    Google burada iki özel konuya odaklanmayı önerir:

    - Yeni bir bağımlılık seçerken riskleri anlayın.

    - Kritik yazılım geliştirme süreçlerinin iyileştirilmesi

    Yeni bir bağımlılık!?

    José Antonio için yanıt