< p class="meta"> Di Liam Tung | 27 agosto 2021 — 10:26 GMT (11:26 BST) | Argomento: sicurezza
Google ha delineato i suoi sforzi per dare forma all'iniziativa zero-trust del governo degli Stati Uniti, basata sull'ordine esecutivo di maggio di Biden sulla sicurezza informatica.
L'impegno di Google da 10 miliardi di dollari per rafforzare l'infrastruttura critica degli Stati Uniti include l'espansione dei programmi zero-trust, l'aiuto a proteggere le catene di fornitura del software e il miglioramento della sicurezza open source.
I suoi contributi vedranno l'azienda sfruttare le iniziative in corso in Google da molti anni, che spazia dagli strumenti di fuzzing open source per finanziare gli sviluppatori del kernel Linux per lavorare sulla sicurezza e spingendo per l'uso di linguaggi sicuri per la memoria in Linux.
Arriva dopo che il presidente degli Stati Uniti Joe Biden ha invitato i capi di Apple, Google, Microsoft e JPMorgan Chase all'inizio di questa settimana a rafforzare la protezione della nazione delle infrastrutture critiche.
Sebbene Google non fosse tra le 18 società di sicurezza informatica selezionate. per lavorare con il programma del National Institute of Standards and Technology (NIST) del Dipartimento del Commercio degli Stati Uniti, che stabilirà la creazione di progetti Zero Trust da implementare per le agenzie federali, ora sta collaborando con il NIST per sviluppare un framework, Eric Brewer e Dan di Google Lorenc ha detto in un post sul blog.
Zero Trust presuppone che una rete sia stata violata e riorienta la sicurezza informatica su app, dati e persone, piuttosto che rafforzare il perimetro della rete.
“Invece di essere reattivi alle vulnerabilità, dovremmo eliminarle in modo proattivo con linguaggi, piattaforme e framework sicuri che bloccano intere classi di bug”, hanno affermato Brewer e Lorenc.
“Prevenire problemi prima che lascino la tastiera dello sviluppatore è più sicuro ed economico rispetto al tentativo di correggere le vulnerabilità e le loro ricadute.”
Mercoledì Biden ha fatto appello al settore privato al vertice sulla sicurezza informatica della Casa Bianca, osservando che il governo federale da solo non è stato in grado di affrontare la sfida di proteggere le infrastrutture critiche dagli attacchi informatici.
Google e Microsoft hanno impegnato rispettivamente $ 10 miliardi e $ 20 miliardi in cinque anni per migliorare la risposta degli Stati Uniti alle minacce future, a seguito di recenti attacchi informatici di alto profilo tra cui l'attacco ransomware Colonial Pipeline, l'attacco alla catena di fornitura del software SolarWinds e l'hacking diffuso di Microsoft Exchange vulnerabilità del server.
“Avete il potere, la capacità e la responsabilità, credo, per alzare l'asticella della sicurezza informatica. In definitiva, abbiamo molto lavoro da fare”, ha affermato Biden, secondo il Washington Post.
A giugno, Brewer ha presentato quattro documenti in risposta all'ordine esecutivo 14028 sulla sicurezza informatica di Biden sul miglioramento della sicurezza della catena di fornitura del software.
Uno degli articoli discute i problemi di sicurezza inerenti alla codifica nel linguaggio di programmazione C e l'emergere di Rust.
“Linguaggi e framework applicativi sicuri possono essere utilizzati per imporre una struttura al software che consenta un ragionamento altamente affidabile sulla sua sicurezza, su larga scala”, ha scritto Brewer.
“Ma garantire che questo requisito sia effettivamente soddisfatto per il codice C del mondo reale è impegnativo e spesso richiede un ragionamento difficile sulla struttura della memoria heap. Allo stesso modo, è difficile garantire la corretta convalida e l'escape per tutti i dati che confluiscono nel markup HTML di un'applicazione web , poiché i dati passano spesso attraverso diversi componenti nel loro percorso dagli input agli output, ad esempio attraverso uno schema di archiviazione.”
“Al contrario, Rust è emerso come un'alternativa pratica a C e C++ come sistema di linguaggio di sviluppo, che incarna una posizione sicura per costruzione sulla sicurezza della memoria. Il sistema di tipi di Rust impone una disciplina di proprietà che garantisce, ad esempio, che non sia possibile accedere alla memoria liberata.”
A tal fine, Google sta sostenendo un piano per inserire Rust nel kernel Linux come seconda lingua per C. Lorenc e Brewer sostengono che i bug del software dovrebbero essere limitati fin dall'inizio, piuttosto che limitarsi a reagire a nuove vulnerabilità. Microsoft e Amazon Web Services supportano anche Rust come alternativa sicura per la memoria a C e C++ per la programmazione dei sistemi.
Google sostiene il test del codice software, incluso l'utilizzo di strumenti di GitHub di proprietà di Microsoft, come Dependabot, uno strumento per mantenere aggiornati i pacchetti software o le dipendenze open source.
Google ha anche offerto la sua opinione sull'idea di una distinta base del software (SBOM) come parte della risposta ufficiale degli Stati Uniti agli attacchi alla catena di fornitura del software. La Linux Foundation sta contribuendo a questo aspetto dell'ordine di Biden. È un problema complesso da risolvere sia in software open-source che proprietario a causa del vasto numero di dipendenze di libreria utilizzate nei programmi moderni.
“Gli SBOM hanno bisogno di un ragionevole rapporto segnale-rumore: se contengono troppe informazioni, non saranno utili, quindi invitiamo l'NTIA [National Telecommunications and Information Administration] a stabilire requisiti minimi e massimi di granularità e profondità per casi d'uso specifici”, ha affermato Google.
Google potrebbe portare su Android una delle migliori funzionalità di iPhone Ecco come disattivare il Privacy Sandbox di Google Chrome (FLoC ) prova Google a consolidare le app di sincronizzazione dei file desktop in un'unica app Drive Google aggiunge cautela ai risultati di ricerca su argomenti emergenti Google ha appena trovato nuovi modi per venderti un Pixel e sono deliziosi
Argomenti correlati:
Google Security TV Data Center CXO per la gestione dei dati 