< p class = "meta"> Av Liam Tung | 27 augusti 2021 – 10:26 GMT (11:26 BST) | Ämne: Säkerhet
Google har redogjort för sina ansträngningar för att forma den amerikanska regeringens nollförtroendeinitiativ, baserat på Bidens majförordning om cybersäkerhet.
Googles åtagande på 10 miljarder dollar för att stärka kritisk amerikansk infrastruktur inkluderar utbyggnad av nollförtroendeprogram, hjälp med att säkra leverantörskedjor för mjukvara och förbättrad öppen källkodssäkerhet.
Dess bidrag kommer att leda till att företaget utnyttjar initiativ som har pågått hos Google i många år, som spänner över fuzzing-verktyg för öppen källkod för att finansiera Linux-kärnutvecklare för att arbeta med säkerhet, och driva på för användning av minnesäkra språk i Linux.
Det kommer efter att USA: s president Joe Biden uppmanade cheferna för Apple, Google, Microsoft och JPMorgan Chase tidigare i veckan att stärka nationens skydd av kritisk infrastruktur.
Även om Google inte var bland de 18 utvalda cybersäkerhetsföretagen för att arbeta med det amerikanska handelsdepartementets National Institute of Standards and Technology (NIST) -program- som kommer att inrätta skapa Zero Trust-design för federala myndigheter att implementera- samarbetar det nu med NIST för att utveckla ett ramverk, Googles Eric Brewer och Dan Sa Lorenc i ett blogginlägg.
Zero Trust antar att ett nätverk har brutits och fokuserar om cybersäkerhet på appar, data och människor, snarare än att förstärka nätverkets omkrets.
“I stället för att reagera på sårbarheter bör vi eliminera dem proaktivt med säkra språk, plattformar och ramverk som stoppar hela klasser av buggar”, säger Brewer och Lorenc.
“Förhindrar problem innan de lämnar utvecklarens tangentbord är säkrare och mer kostnadseffektivt än att försöka åtgärda sårbarheter och deras nedfall. “
Biden vädjade till den privata sektorn vid toppmötet om cybersäkerhet i Vita huset på onsdagen och noterade att den federala regeringen ensam inte kunde möta utmaningen att skydda kritisk infrastruktur från cyberattacker.
Google och Microsoft åtog sig 10 miljarder dollar respektive 20 miljarder dollar under fem år för att förbättra USA: s svar på framtida hot, efter de senaste högprofilerade cyberattackerna, inklusive Colonial Pipeline-ransomware-attack, SolarWinds-programvaruförsörjningskedjan och omfattande hackning av Microsoft Exchange servern sårbarheter.
“Du tror att jag har makt, kapacitet och ansvar att höja ribban för cybersäkerhet. I slutändan har vi mycket att göra”, säger Biden, enligt Washington Post.
I juni lämnade Brewer fyra papper som svar på Bidens cybersäkerhetsbekämpningsförordning 14028 om förbättrad säkerhet i mjukvaruförsörjningskedjan.
I en av tidningarna diskuteras de säkerhetsproblem som är förknippade med kodning i programmeringsspråket C och framväxten av Rust.
“Säkra språk och applikationsramar kan användas för att påtvinga en struktur på programvara som möjliggör högförtroenderesonemang om dess säkerhet i stor skala”, skrev Brewer.
“Men att se till att detta krav verkligen uppfylls för C-kod i verkliga världen är utmanande och kräver ofta svåra resonemang om högminnestruktur. På samma sätt är det svårt att säkerställa korrekt validering och rymning för all data som strömmar in i ett webbprograms HTML-markering , eftersom data ofta passerar genom flera komponenter på väg från ingångar till utgångar, till exempel genom ett lagringsschema. “
” Däremot har Rust framstått som ett praktiskt alternativ till C och C ++ som system- utvecklingsspråk, som förkroppsligar en säker-genom-konstruktion-inställning till minnessäkerhet. Rusts typsystem inför en ägardisciplin som till exempel säkerställer att frigjort minne inte kan nås. “
För detta ändamål stödjer Google en plan för att få Rust in i Linux -kärnan som ett andra språk till C. Lorenc och Brewer hävdar att mjukvarufel bör begränsas från början, snarare än att bara reagera på nya sårbarheter. Microsoft och Amazon Web Services stödjer också Rust som ett minnessäkert alternativ till C och C ++ för systemprogrammering.
Google förespråkar testning av programvarukoder, inklusive att använda verktyg från Microsoft-ägda GitHub, till exempel Dependabot-ett verktyg för att hålla programvarupaket eller beroenden med öppen källkod uppdaterad.
Google erbjöd också sin åsikt om idén om en programvaruförteckning (SBOM) som en del av det officiella USA -svaret på attacker från programvaruförsörjningskedjor. Linux Foundation bidrar med denna aspekt av Bidens order. Det är ett komplext problem att lösa i både öppen källkod och egenutvecklad programvara på grund av det stora antalet bibliotekberoenden som används i moderna program.
“SBOM behöver ett rimligt signal-brusförhållande: om de innehåller för mycket information kommer de inte att vara användbara, så vi uppmanar NTIA [National Telecommunications and Information Administration] att fastställa både minimikrav och maximala krav på granularitet och djup för specifika användningsfall, “sa Google.
Google kan ge en av iPhone: s bästa funktioner till Android Så här väljer du bort Google Chrome: s sekretesssandlåda (FLoC) ) försöker Google att konsolidera skrivbordsfilsynkroniseringsappar till singular Drive -app Google lägger till försiktighet i sökresultat om nya ämnen Google har precis hittat nya sätt att sälja en Pixel till dig och de är underbara
Relaterade ämnen:
Google Security TV Datahantering CXO-datacenter