Forretningsforfatter og ekspert, H. James Harrington, sa en gang: “Hvis du ikke kan måle noe, kan du ikke forstå det. Hvis du ikke kan forstå det, kan du ikke kontrollere det. Hvis du ikke kan kontrollere det, du kan ikke forbedre det. ” Han hadde rett. Og Google følger dette rådet ved å introdusere en ny måte å styrke åpen kildekodesikkerhet ved å innføre et sårbarhetsutvekslingsskjema for å beskrive sårbarheter på tvers av økosystemer med åpen kildekode.
Det er veldig viktig. Et lavnivåproblem er at det er mange sikkerhetssårbarhetsdatabaser, det er ikke noe standard utvekslingsformat. Hvis du vil samle informasjon fra flere databaser, må du håndtere hver enkelt separat. Det er virkelig sløsing med tid og energi. I det minste må du opprette parsers for hvert databaseformat for å slå sammen dataene. Alt dette gjør systematisk sporing av avhengigheter og samarbeid mellom sårbarhetsdatabaser mye vanskeligere enn det burde være.
Så Google bygde på arbeidet det allerede er gjort på Open Source Vulnerabilities (OSV) -databasen og OSS-Fuzz-datasettet med sikkerhetsproblemer. Google Open Source Security-teamet, Go-teamet og det bredere open source-fellesskapet bidro til å skape dette enkle skjemaet for sårbarhetsutveksling. Mens de jobbet med skjemaet, kunne de kommunisere presise sårbarhetsdata for hundrevis av kritiske open source-prosjekter.
Nå er OSV og skjemaet utvidet til flere nye nøkkelåpne økosystemer med åpen kildekode: Go, Rust, Python og DWF. Denne utvidelsen forener og samler deres sårbarhetsdatabaser. Dette gir utviklere en bedre måte å spore og rette opp sikkerhetsproblemene sine.
Dette nye sårbarhetsskjemaet tar sikte på å løse noen viktige problemer med å håndtere sårbarheter med åpen kildekode. Det:
Styrker versjonsspesifikasjon som samsvarer nøyaktig med navn- og versjonsskjemaer som brukes i faktiske økosystemer med åpen kildekode-pakke. For eksempel er det vanskelig å gjøre en sårbarhet, for eksempel en CVE, til et pakkenavn og sett med versjoner i en pakkebehandling, på en automatisk måte ved å bruke eksisterende mekanismer som CPE. Kan beskrive sårbarheter i ethvert åpen kildekode-økosystem, samtidig som det ikke krever økosystemavhengig logikk for å behandle dem. Er enkel å bruke av både automatiserte systemer og mennesker.
Kort sagt, som Abhishek Arya, Google Open Source Security Team Manager, la inn et notat på spesifikasjonsmanuskriptet, “Hensikten er å lage et enkelt skjemaformat som inneholder presise sårbarhetsmetadata, de nødvendige detaljene som trengs for å fikse feilen og er en lav belastning for det ressursbegrensede økosystemet med åpen kildekode. “
Håpet er at med dette skjemaet kan utviklere definere et format som alle sårbarhetsdatabaser kan eksportere. Et slikt enhetlig format vil bety at programmerere og sikkerhetsforskere enkelt kan dele verktøy og sårbarhetsdata på tvers av alle open source-prosjekter.
Spesifikasjonen for sårbarhetsskjema har gått gjennom flere iterasjoner, men den er ikke fullført ennå. Google og venner inviterer til ytterligere tilbakemelding når det nærmer seg sluttbehandlingen. En rekke offentlige sårbarhetsdatabaser i dag eksporterer allerede dette formatet, med flere i røret:
Go sårbarhetsdatabase for Go-pakker
Rustrådgivende database for lastepakker
< p> Python rådgivende database for PyPI-pakker
DWF-database for sårbarheter i Linux-kjernen og annen populær programvare
OSS-Fuzz-database for sårbarheter i C/C ++ -programvare funnet av OSS-Fuzz
OSV-tjenesten har også samlet alle disse sårbarhetsdatabasene, som kan vises på prosjektets nettgrensesnitt. Databasene kan også spørres med en enkelt kommando via eksisterende API-er.
I tillegg til OSVs eksisterende automatisering, har Google bygget flere automatiseringsverktøy for vedlikehold av sårbarhetsdatabaser og brukt disse verktøyene til å starte en Python-rådgivningsdatabase. Denne automatiseringen tar eksisterende feeder, samsvarer dem nøyaktig med pakker og genererer oppføringer som inneholder presise, validerte versjonsområder med minimal menneskelig inngripen. Google planlegger å utvide dette verktøyet til andre økosystemer som det ikke finnes noen eksisterende sårbarhetsdatabase for eller liten støtte for løpende vedlikehold av databaser.
Denne innsatsen samsvarer også med den nylige amerikanske ordren om forbedring av landets cybersikkerhet, som understreket behovet for å fjerne barrierer for deling av trusselinformasjon for å styrke nasjonal infrastruktur. Denne utvidede databasen med delt sårbarhet markerer et viktig skritt mot å skape et sikrere open source-miljø for alle brukere.
Vil du engasjere deg? Du burde. Dette lover å gjøre programvare med åpen kildekode, uansett hva prosjektet ditt er, mye enklere å sikre.
Relaterte historier:
Sikkerhet med åpen kildekode: Google har en ny plan for å stoppe angrep av programvareforsyningskjedenCloudLinux slipper UChecker-sikkerhetsverktøy for Linux-servere Ekkel Linux-systemd rotnivå sikkerhetsfeil avslørt og lappet
Relaterte emner:
Enterprise Software Security TV Data Management CXO Data Centers 