Forretningsforfatter og ekspert, H. James Harrington, sagde engang: “Hvis du ikke kan måle noget, kan du ikke forstå det. Hvis du ikke kan forstå det, kan du ikke kontrollere det. Hvis du ikke kan kontrollere det, du kan ikke forbedre det. ” Han havde ret. Og Google følger denne rådgivning ved at introducere en ny måde at styrke open source-sikkerhed ved at indføre et sårbarhedsudvekslingsskema til beskrivelse af sårbarheder på tværs af open source-økosystemer.
Det er meget vigtigt. Et lavt niveau problem er, at der er mange databaser med sikkerhedssårbarhed, der er intet standardudvekslingsformat. Hvis du vil samle information fra flere databaser, skal du håndtere hver enkelt helt separat. Det er virkelig spild af tid og energi. I det mindste skal du oprette parsere for hvert databaseformat for at flette deres data. Alt dette gør systematisk sporing af afhængigheder og samarbejde mellem sårbarhedsdatabaser meget sværere end det burde være.
Så Google byggede på det arbejde, det allerede er gjort på Open Source Vulnerabilities (OSV) -databasen og OSS-Fuzz-datasættet med sikkerhedssårbarheder. Google Open Source Security-teamet, Go-teamet og det bredere open source-community hjalp alle med at skabe dette enkle skema til udveksling af sårbarheder. Mens de arbejder på skemaet, kunne de kommunikere nøjagtige sårbarhedsdata til hundredvis af kritiske open source-projekter.
Nu er OSV og skemaet udvidet til flere nye centrale open source-økosystemer: Go, Rust, Python og DWF. Denne udvidelse forener og samler deres sårbarhedsdatabaser. Dette giver udviklere en bedre måde at spore og afhjælpe deres sikkerhedsproblemer.
Denne nye sårbarhedsskema har til formål at løse nogle vigtige problemer med styring af open source-sårbarheder. Det:
Håndhæver versionsspecifikation, der nøjagtigt matcher navngivnings- og versioneringsordninger, der anvendes i faktiske open source-pakkeøkosystemer. For eksempel er det vanskeligt at matche en sårbarhed, såsom en CVE, med et pakkenavn og et sæt versioner i en pakkehåndtering på en automatisk måde ved hjælp af eksisterende mekanismer såsom CPE'er. Kan beskrive sårbarheder i ethvert open source-økosystem, mens det ikke kræver økosystemafhængig logik at behandle dem. Er let at bruge af både automatiserede systemer og mennesker.
Kort sagt, som Abhishek Arya, Google Open Source Security Team Manager, skrev en note om specifikationsmanuskriptet, “Hensigten er at oprette et simpelt skemaformat, der indeholder nøjagtige sårbarhedsmetadata, de nødvendige detaljer nødvendige for at rette fejlen og er en lav byrde for det ressourcebegrænsede open source-økosystem. “
Håbet er, at med dette skema kan udviklere definere et format, som alle sårbarhedsdatabaser kan eksportere. Et sådant samlet format ville betyde, at programmører og sikkerhedsforskere let kan dele værktøjs- og sårbarhedsdata på tværs af alle open source-projekter.
Specifikationen for sårbarhedsskemaet har gennemgået flere iterationer, men den er ikke afsluttet endnu. Google og venner inviterer yderligere feedback, når det kommer tættere på at blive afsluttet. En række offentlige sårbarhedsdatabaser i dag eksporterer allerede dette format med mere i pipeline:
Go sårbarhedsdatabase til Go-pakker
Rustrådgivende database til lastpakker
< p> Python-rådgivende database til PyPI-pakker
DWF-database for sårbarheder i Linux-kernen og anden populær software
OSS-Fuzz-database for sårbarheder i C/C ++ -software fundet af OSS-Fuzz
OSV-tjenesten har også samlet alle disse sårbarhedsdatabaser, som kan ses på projektets web-UI. Databaserne kan også forespørges med en enkelt kommando via dens eksisterende API'er.
Ud over OSVs nuværende automatisering har Google bygget flere automatiseringsværktøjer til vedligeholdelse af sårbarhedsdatabaser og brugt disse værktøjer til at starte en Python-rådgivningsdatabase. Denne automatisering tager eksisterende feeds, matcher dem nøjagtigt med pakker og genererer poster, der indeholder nøjagtige, validerede versioner med minimalt menneskeligt indgreb. Google planlægger at udvide dette værktøj til andre økosystemer, for hvilke der ikke findes nogen eksisterende sårbarhedsdatabase eller ringe support til løbende databasevedligeholdelse.
Denne indsats stemmer også overens med den nylige amerikanske bekendtgørelse om forbedring af nationens cybersikkerhed, som understregede behovet for at fjerne barrierer for deling af trusseloplysninger for at styrke den nationale infrastruktur. Denne udvidede database med delt sårbarhed markerer et vigtigt skridt i retning af at skabe et mere sikkert open source-miljø for alle brugere.
Vil du blive involveret? Du burde. Dette lover at gøre open source-software, uanset hvad dit projekt er, meget lettere at sikre.
Relaterede historier:
Open source-sikkerhed: Google har en ny plan om at stoppe softwareforsyningskædeangrebCloudLinux frigiver UChecker-sikkerhedsværktøj til Linux-servere Nasty Linux-systemd rodniveau-sikkerhed afsløret og patched
Relaterede emner:
Enterprise Software Security TV Data Management CXO Data Centers 