Ο συγγραφέας και ειδικός, H. James Harrington, κάποτε είπε, “Εάν δεν μπορείτε να μετρήσετε κάτι, δεν μπορείτε να το καταλάβετε. Εάν δεν μπορείτε να το καταλάβετε, δεν μπορείτε να το ελέγξετε. Εάν δεν μπορείτε να ελέγξετε δεν μπορείτε να το βελτιώσετε.” Είχε δίκιο. Και η Google ακολουθεί αυτές τις συμβουλές, εισάγοντας έναν νέο τρόπο για την ενίσχυση της ασφάλειας ανοιχτού κώδικα, εισάγοντας ένα vulnerability interchange schema για την περιγραφή των ευπαθειών στα οικοσυστήματα ανοιχτού κώδικα.
Αυτό είναι μια σημαντική πληροφορία. Ένα πρόβλημα είναι ότι υπάρχουν πολλές βάσεις δεδομένων με ευπάθειες ασφαλείας, αλλά δεν υπάρχει μια τυπική μορφή ανταλλαγή τους. Εάν θέλετε να συγκεντρώσετε πληροφορίες από πολλές βάσεις δεδομένων, πρέπει να χειριστείτε κάθε μία εντελώς ξεχωριστά. Αυτό είναι πραγματικό χάσιμο χρόνου και ενέργειας.. Όλα αυτά καθιστούν τη συστηματική παρακολούθηση των εξαρτήσεων και τη συνεργασία μεταξύ των βάσεων δεδομένων ευπάθειας πολύ πιο δύσκολη από ό, τι θα έπρεπε.
Έτσι, η Google βασίστηκε στην εργασία που έχει ήδη γίνει στη βάση δεδομένων του Open Source Vulnerilities (OSV) και στο σύνολο δεδομένων OSS-Fuzz για θέματα ευπάθειας ασφαλείας. Η ομάδα ασφάλειας ανοιχτού κώδικα Google, η ομάδα Go και η ευρύτερη κοινότητα ανοιχτού κώδικα βοήθησαν στη δημιουργία αυτού του απλού σχήματος ανταλλαγής ευπάθειας. Ενώ εργάζονταν στο σχήμα, μπορούσαν να κοινοποιήσουν ακριβή δεδομένα ευπάθειας για εκατοντάδες κρίσιμα έργα ανοιχτού κώδικα.
Τώρα το OSV και το σχήμα έχουν επεκταθεί σε πολλά νέα βασικά οικοσυστήματα ανοιχτού κώδικα: Go, Rust, Python, και DWF . Αυτή η επέκταση ενώνει και συγκεντρώνει τις βάσεις δεδομένων ευπάθειας. Αυτό δίνει στους προγραμματιστές έναν καλύτερο τρόπο παρακολούθησης και αποκατάστασης των προβλημάτων ασφαλείας τους.
Αυτό το νέο σχήμα ευπάθειας στοχεύει στην αντιμετώπιση ορισμένων βασικών προβλημάτων με τη διαχείριση τρωτών σημείων ανοιχτού κώδικα:
- Επιβάλλει προδιαγραφές έκδοσης που ταιριάζει με ακρίβεια σχήματα ονομασίας και εκδόσεων που χρησιμοποιούνται σε πραγματικά οικοσυστήματα πακέτων ανοιχτού κώδικα. Για παράδειγμα, η αντιστοίχιση μιας ευπάθειας όπως το CVE σε ένα όνομα πακέτου και ένα σύνολο εκδόσεων σε έναν διαχειριστή πακέτων είναι δύσκολο να γίνει με αυτοματοποιημένο τρόπο χρησιμοποιώντας υπάρχοντες μηχανισμούς όπως CPEs .
- Μπορεί να περιγράψει ευπάθειες σε οποιοδήποτε οικοσύστημα ανοιχτού κώδικα, ενώ δεν απαιτεί λογική που εξαρτάται από το οικοσύστημα για την επεξεργασία τους.
- Είναι εύκολο στη χρήση τόσο από αυτοματοποιημένα συστήματα όσο και από ανθρώπους.
Η ελπίδα είναι ότι με αυτό το σχήμα, οι προγραμματιστές μπορούν να ορίσουν μια μορφή που μπορούν να εξαγάγουν όλες οι βάσεις δεδομένων ευπάθειας. Μια τέτοια ενοποιημένη μορφή θα σήμαινε ότι οι προγραμματιστές και οι ερευνητές ασφάλειας μπορούν εύκολα να μοιράζονται δεδομένα εργαλείων και ευπάθειας σε όλα τα έργα ανοιχτού κώδικα.
Η προδιαγραφή σχήματος ευπάθειας έχει περάσει από αρκετές δοκιμές, αλλά δεν έχει ολοκληρωθεί ακόμη. Οι προγραμματιστές σας προσκαλούν για περαιτέρω σχόλια καθώς πλησιάζει η ολοκλήρωση. Ορισμένες δημόσιες βάσεις δεδομένων ευπάθειας σήμερα εξάγουν ήδη αυτήν τη μορφή, ενώ περισσότερες βρίσκονται σε εξέλιξη:
- Go vulnerability database για Go packages
- Rust advisory database για Cargo packages
- Python advisory database για PyPI packages
- DWF database για vulnerabilities στον Linux kernel και αλλά δημοφιλή λογισμικά
- OSS-Fuzz database για vulnerabilities σε C/C++
Η υπηρεσία OSV έχει επίσης συγκεντρώσει όλες αυτές τις βάσεις δεδομένων ευπάθειας, οι οποίες είναι ορατές στο περιβάλλον εργασίας χρήστη του έργου. Οι βάσεις δεδομένων μπορούν επίσης να ερωτηθούν με μία εντολή μέσω των υφιστάμενων APIs .
Εκτός από τον υπάρχοντα αυτοματισμό του OSV, η Google έχει δημιουργήσει περισσότερα εργαλεία αυτοματισμού για τη συντήρηση βάσης δεδομένων ευπάθειας και χρησιμοποίησε αυτά τα εργαλεία για την συμβουλευτική βάση Δεδομένων της κοινότητας Python. Η Google σχεδιάζει να επεκτείνει αυτό το εργαλείο σε άλλα οικοσυστήματα για τα οποία δεν υπάρχει υπάρχουσα βάση δεδομένων ευπάθειας ή λίγη υποστήριξη για τη συνεχή συντήρηση βάσης δεδομένων.
Αυτή η διευρυμένη βάση δεδομένων ευπάθειας σηματοδοτεί ένα σημαντικό βήμα προς τη δημιουργία ενός πιο ασφαλούς περιβάλλοντος ανοιχτού κώδικα για όλους τους χρήστες.
Πηγή άρθρου: https://www.zdnet.com