< p class = "meta"> Av Liam Tung | 27. august 2021 – 10:26 GMT (11:26 BST) | Tema: Sikkerhet
Google har skissert sine bestrebelser på å forme den amerikanske regjeringens nulltillitsinitiativ, basert på Bidens mai-pålegg om nettsikkerhet.
Googles forpliktelse på 10 milliarder dollar for å styrke kritisk amerikansk infrastruktur inkluderer utvidelse av null-tillitsprogrammer, bidrar til å sikre programvareforsyningskjeder og forbedrer åpen kildekode-sikkerhet.
Dets bidrag vil gjøre at selskapet utnytter initiativer som har vært i gang. hos Google i mange år, og spenner over fuzzing-verktøy for åpen kildekode for å finansiere Linux-kjerneutviklere for å jobbe med sikkerhet, og presser på for bruk av minnesikre språk i Linux.
Det kommer etter at USAs president Joe Biden oppfordret sjefene for Apple, Google, Microsoft og JPMorgan Chase tidligere denne uken for å styrke landets beskyttelse av kritisk infrastruktur.
Selv om Google ikke var blant de 18 cybersikkerhetsselskapene som ble valgt for å jobbe med US Department of Commerce's National Institute of Standards and Technology (NIST) -program- som vil etablere skape Zero Trust-design for føderale byråer å implementere- samarbeider det nå med NIST for å utvikle et rammeverk, Googles Eric Brewer og Dan Sa Lorenc i et blogginnlegg.
Zero Trust antar at et nettverk har blitt brutt og fokuserer cybersikkerhet på apper, data og mennesker, i stedet for å forsterke nettverkets omkrets.
“I stedet for å være reaktive på sårbarheter, bør vi eliminere dem proaktivt med sikre språk, plattformer og rammer som stopper hele klasser av feil,” sa Brewer og Lorenc.
“Forebygging problemer før de forlater utviklerens tastatur er tryggere og mer kostnadseffektivt enn å prøve å fikse sårbarheter og deres nedfall. “
Biden appellerte til privat sektor på toppmøtet i Cybersecurity i Det hvite hus onsdag, og bemerket at den føderale regjeringen alene ikke kunne møte utfordringen med å beskytte kritisk infrastruktur mot cyberangrep.
Google og Microsoft forpliktet seg til henholdsvis 10 milliarder dollar og 20 milliarder dollar over fem år for å forbedre USAs respons på fremtidige trusler, etter nylige høyprofilerte cyberangrep, inkludert Colonial Pipeline ransomware-angrep, SolarWinds-programvarekjedeangrep og utbredt hacking av Microsoft Exchange server sårbarheter.
“Du har makt, kapasitet og ansvar, tror jeg, til å heve grensen for cybersikkerhet. Til syvende og sist har vi mye arbeid å gjøre,” sa Biden, ifølge The Washington Post.
I juni leverte Brewer fire papirer som svar på Bidens cybersecurity Executive Order 14028 om forbedring av programvarenes forsyningskjedesikkerhet.
En av avhandlingene diskuterer sikkerhetsproblemene som er knyttet til koding i programmeringsspråket C og fremveksten av Rust.
“Sikre språk og applikasjonsrammer kan brukes til å pålegge en struktur på programvare som muliggjør høy tillit til å resonnere om sikkerhet i stor skala,” skrev Brewer.
“Men å sørge for at dette kravet faktisk er oppfylt for virkelige C-koder, er utfordrende og krever ofte vanskelig resonnement om haugeminnestruktur. På samme måte er det vanskelig å sikre korrekt validering og rømning for alle data som strømmer inn i et webprograms HTML-markering. , siden data ofte passerer gjennom flere komponenter på vei fra innganger til utganger, for eksempel gjennom et lagringsskjema. “
” I kontrast har Rust dukket opp som et praktisk alternativ til C og C ++ som system- utviklingsspråk, som innebærer en sikker-ved-konstruksjon-holdning til minnesikkerhet. Rusts typesystem pålegger en eierdisiplin som for eksempel sikrer at frigjort minne ikke kan nås. “
For det formål støtter Google en plan om å få Rust inn i Linux -kjernen som et andrespråk til C. Lorenc og Brewer argumenterer for at programvarefeil bør begrenses fra begynnelsen, i stedet for bare å reagere på nye sårbarheter. Microsoft og Amazon Web Services støtter også Rust som et minnesikkert alternativ til C og C ++ for systemprogrammering.
Google går inn for testing av programvarekoder, inkludert bruk av verktøy fra Microsoft-eide GitHub, for eksempel Dependabot-et verktøy for å holde programvarepakker eller avhengigheter med åpen kildekode oppdatert.
Google ga også sin mening om ideen om en programvaremateriale (SBOM) som en del av det offisielle amerikanske svaret på programvareforsyningskjedeangrep. Linux Foundation bidrar med dette aspektet av Bidens ordre. Det er et komplekst problem å løse i både åpen kildekode og proprietær programvare på grunn av det store antallet bibliotekavhengigheter som brukes i moderne programmer.
“SBOM-er trenger et rimelig signal-til-støy-forhold: hvis de inneholder for mye informasjon, vil de ikke være nyttige, så vi oppfordrer NTIA [National Telecommunications and Information Administration] til å etablere både minimums- og maksimumskrav til detaljrikdom og dybde for spesifikke brukstilfeller, “sa Google.
Google kan bringe til Android en av iPhone's beste funksjoner. Slik velger du bort Google Chrome's Privacy Sandbox (FLoC) ) prøver Google å konsolidere desktop -filsynkroniseringsapper til enestående Drive -app. Google legger forsiktighet til søkeresultater om nye temaer. Google har nettopp funnet nye måter å selge deg en Pixel på, og de er herlige
Relaterte emner:
Google Security TV Datahåndtering CXO datasentre