Affärsförfattaren och experten, H. James Harrington, sa en gång: “Om du inte kan mäta något kan du inte förstå det. Om du inte kan förstå det kan du inte kontrollera det. Om du inte kan kontrollera det, du kan inte förbättra det. ” Han hade rätt. Och Google följer detta råd genom att införa ett nytt sätt att stärka öppen källkodssäkerhet genom att införa ett sårbarhetsutbytesschema för att beskriva sårbarheter i öppen källkodsekosystem.
Det är väldigt viktigt. Ett lågnivåproblem är att det finns många säkerhetssårbarhetsdatabaser, det finns inget standardutbytesformat. Om du vill samla information från flera databaser måste du hantera var och en helt separat. Det är ett verkligt slöseri med tid och energi. Åtminstone måste du skapa parsers för varje databasformat för att slå samman deras data. Allt detta gör systematisk spårning av beroenden och samarbete mellan sårbarhetsdatabaser mycket svårare än det borde vara.
Så Google byggde på det arbete som det redan har gjort på Open Source Vulnerabilities (OSV) -databasen och OSS-Fuzz-datasetet med säkerhetsproblem. Googles Open Source Security-team, Go-teamet och den bredare open source-communityn hjälpte alla till att skapa detta enkla sårbarhetsutbytesschema. Under arbetet med schemat kunde de kommunicera exakt sårbarhetsdata för hundratals kritiska öppen källkodsprojekt.
Nu har OSV och schemat utökats till flera nya viktiga öppen källkodsekosystem: Go, Rust, Python och DWF. Denna expansion förenar och aggregerar deras sårbarhetsdatabaser. Detta ger utvecklare ett bättre sätt att spåra och åtgärda sina säkerhetsproblem.
Detta nya sårbarhetsschema syftar till att ta itu med några viktiga problem med att hantera sårbarheter med öppen källkod. Det:
Tvingar fram versionsspecifikation som exakt matchar namngivnings- och versioneringsscheman som används i faktiska öppen källkodspaket ekosystem. Exempelvis är det svårt att matcha en sårbarhet som en CVE med ett paketnamn och en uppsättning versioner i en pakethanterare med hjälp av befintliga mekanismer som CPE. Kan beskriva sårbarheter i alla öppen källkodsekosystem, men kräver inte ekosystemberoende logik för att bearbeta dem. Är lätt att använda av både automatiserade system och människor.
Kort sagt, som Abhishek Arya, Google Open Source Security Team Manager, lade in en anteckning om specifikationsmanuskriptet, “Avsikten är att skapa ett enkelt schemaformat som innehåller exakta sårbarhetsmetadata, nödvändiga detaljer som behövs för att åtgärda felet och är en låg börda för det resursbegränsade ekosystemet med öppen källkod. “
Förhoppningen är att med detta schema kan utvecklare definiera ett format som alla sårbarhetsdatabaser kan exportera. Ett sådant enhetligt format skulle innebära att programmerare och säkerhetsforskare enkelt kan dela verktygs- och sårbarhetsdata över alla projekt med öppen källkod.
Specifikationen för sårbarhetsschemat har gått igenom flera iterationer, men den är inte klar ännu. Google och vänner bjuder in ytterligare feedback när det kommer närmare att slutföras. Ett antal offentliga sårbarhetsdatabaser idag exporterar redan detta format, med mer i pipeline:
Go sårbarhetsdatabas för Go-paket
Rust-rådgivande databas för lastpaket
< p> Python-rådgivande databas för PyPI-paket
DWF-databas för sårbarheter i Linux-kärnan och annan populär programvara
OSS-Fuzz-databas för sårbarheter i C/C ++ -programvara som hittats av OSS-Fuzz
OSV-tjänsten har också samlat alla dessa sårbarhetsdatabaser, som kan visas i projektets webbgränssnitt. Databaserna kan också ifrågasättas med ett enda kommando via dess befintliga API: er.
Förutom OSVs befintliga automatisering har Google byggt fler automatiseringsverktyg för underhåll av sårbarhetsdatabaser och använt dessa verktyg för att starta upp Pythons rådgivande databas. Denna automatisering tar befintliga flöden, matchar dem exakt till paket och genererar poster som innehåller exakta, validerade versioner med minimalt mänskligt ingripande. Google planerar att utöka detta verktyg till andra ekosystem där det inte finns någon befintlig sårbarhetsdatabas eller lite stöd för pågående databasunderhåll.
Denna ansträngning överensstämmer också med USA: s nyligen genomförda order om förbättring av nationens cybersäkerhet, som betonade behovet av att ta bort hinder för att dela hotinformation för att stärka nationell infrastruktur. Den här utvidgade databasen för delad sårbarhet markerar ett viktigt steg mot att skapa en säkrare öppen källkodsmiljö för alla användare.
Vill du engagera dig? Du borde. Detta lovar att göra programvara med öppen källkod, oavsett vad ditt projekt är, mycket lättare att säkra.
Relaterade berättelser:
Säkerhet med öppen källkod: Google har en ny plan för att stoppa programvaruförsörjningskedjan AttackCloudLinux släpper UChecker säkerhetsverktyg för Linux-servrar Snygg Linux-systemd rotnivå säkerhetsbugg avslöjade och lappade
Relaterade ämnen:
Enterprise Software Security TV Data Management CXO Data Centers 