< p class = "meta"> Af Liam Tung | 27. august 2021 – 10:26 GMT (11:26 BST) | Emne: Sikkerhed
Google har skitseret sine bestræbelser på at forme den amerikanske regerings nul-tillidsinitiativ baseret på Bidens majbekendtgørelse om cybersikkerhed.
Googles forpligtelse på 10 milliarder dollar til at styrke kritisk amerikansk infrastruktur omfatter udvidelse af nultillidsprogrammer, hjælp til at sikre softwareforsyningskæder og øge open source-sikkerhed.
Dens bidrag vil få virksomheden til at udnytte initiativer, der har været i gang. hos Google i mange år, der spænder over open source-fuzzing-værktøjer til finansiering af Linux-kerneudviklere til at arbejde med sikkerhed og skubbe til brug af hukommelsessikre sprog i Linux.
Det sker, efter at USA's præsident Joe Biden tidligere på ugen opfordrede cheferne for Apple, Google, Microsoft og JPMorgan Chase til at skærpe landets beskyttelse af kritisk infrastruktur.
Selvom Google ikke var blandt de 18 udvalgte cybersikkerhedsvirksomheder for at arbejde med US Department of Commerce's National Institute of Standards and Technology (NIST) -program- som vil etablere skabe Zero Trust-design, som føderale agenturer kan implementere- samarbejder det nu med NIST om at udvikle en ramme, Googles Eric Brewer og Dan Sagde Lorenc i et blogindlæg.
Zero Trust går ud fra, at et netværk er blevet brudt og omlægger cybersikkerhed på apps, data og mennesker i stedet for at hærde netværksomkretsen.
“I stedet for at være reaktive på sårbarheder bør vi fjerne dem proaktivt med sikre sprog, platforme og rammer, der stopper hele klasser af fejl,” sagde Brewer og Lorenc.
“Forebyggelse problemer, før de forlader udviklerens tastatur, er sikrere og mere omkostningseffektive end at forsøge at løse sårbarheder og deres nedfald. “
Biden appellerede til den private sektor på topmødet om cybersikkerhed i Det Hvide Hus onsdag og bemærkede, at den føderale regering ikke alene kunne klare udfordringen med at beskytte kritisk infrastruktur mod cyberangreb.
Google og Microsoft forpligtede sig henholdsvis 10 milliarder og 20 milliarder dollar over fem år til at forbedre USA's reaktion på fremtidige trusler efter de seneste højt profilerede cyberangreb, herunder Colonial Pipeline ransomware-angreb, SolarWinds softwareforsyningskædeangreb og omfattende hacking af Microsoft Exchange server sårbarheder.
“Du har magt, kapacitet og ansvar, tror jeg, til at hæve grænsen for cybersikkerhed. I sidste ende har vi meget arbejde at gøre,” sagde Biden ifølge The Washington Post.
I juni indsendte Brewer fire papirer som svar på Bidens cybersikkerhedsbekendtgørelse 14028 om forbedring af softwareforsyningskædesikkerhed.
Et af papirerne diskuterer de sikkerhedsproblemer, der er forbundet med kodning i programmeringssproget C og fremkomsten af Rust.
“Sikre sprog og applikationsrammer kan bruges til at pålægge en struktur på software, der muliggør en høj tillid til at begrunde sin sikkerhed i stor skala,” skrev Brewer.
“Men at sikre, at dette krav rent faktisk er opfyldt for C-kode i den virkelige verden, er udfordrende og kræver ofte vanskelige begrundelser om heap-hukommelsesstruktur. På samme måde er det svært at sikre korrekt validering og undslippe for alle data, der strømmer ind i en webapplikations HTML-markup , da data ofte passerer gennem flere komponenter på vej fra input til output, f.eks. gennem et opbevaringsskema. “
” Rust er derimod fremstået som et praktisk alternativ til C og C ++ som system- udviklingssprog, der legemliggør en sikker-ved-konstruktion-holdning til hukommelsessikkerhed. Rusts typesystem pålægger en ejerskabsdisciplin, der f.eks. sikrer, at frigivet hukommelse ikke kan tilgås. “
Til det formål bakker Google op om en plan om at få Rust ind i Linux -kernen som et andet sprog til C. Lorenc og Brewer argumenterer for, at softwarebugs bør begrænses fra begyndelsen, snarere end bare at reagere på nye sårbarheder. Microsoft og Amazon Web Services støtter også Rust som et hukommelsessikkert alternativ til C og C ++ til systemprogrammering.
Google går ind for test af softwarekoder, herunder brug af værktøjer fra Microsoft-ejede GitHub, f.eks. Dependabot-et værktøj til at holde open source-softwarepakker eller afhængigheder opdaterede.
Google tilbød også sin mening om ideen om en softwaremateriale (SBOM'er) som en del af det officielle amerikanske svar på softwareforsyningskædeangreb. Linux Foundation bidrager med dette aspekt af Bidens ordre. Det er et komplekst problem at løse i både open-source og proprietær software på grund af det store antal bibliotekafhængigheder, der bruges i moderne programmer.
“SBOM'er har brug for et rimeligt signal-til-støj-forhold: Hvis de indeholder for mange oplysninger, vil de ikke være nyttige, så vi opfordrer NTIA [National Telecommunications and Information Administration] til at opstille både minimums- og maksimumskrav til granularitet og dybde for specifikke use-cases, “sagde Google.
Google kunne bringe en af iPhone's bedste funktioner til Android Sådan kan du fravælge Google Chrome's Privacy Sandbox (FLoC ) prøver Google på at konsolidere desktop -filsynkroniseringsapps til en enkelt Drive -app. Google tilføjer forsigtighed til søgeresultater om nye emner, Google har lige fundet nye måder at sælge dig en Pixel på, og de er dejlige
Relaterede emner:
Google Security TV Datastyring CXO datacentre