CII დგამს ზომებს ღია კოდის პროგრამული უზრუნველყოფის უფრო უსაფრთხოდ

  • Oct 21, 2023

Linux Foundation-ის ძირითადი ინფრასტრუქტურის ინიციატივა ახორციელებს სამ ახალ ძირითად ღია კოდის უსაფრთხოების პროექტს და Linux უსაფრთხოების ექსპერტი ემილი რატლიფი დაიქირავა CII-ის ზედამხედველობისთვის.

ღია კოდის პროგრამული უზრუნველყოფა შეიძლება ზოგადად უფრო უსაფრთხო იყოს, ვიდრე საკუთრებაში არსებული პროგრამული უზრუნველყოფა, მაგრამ კონკრეტულად ის შეიძლება ისეთივე მძიმედ ჩავარდეს. გულგახეთქილი, ფრიკი, და ლოჯამი რომ დავასახელოთ მხოლოდ სამი ძირითადი OpenSSL უსაფრთხოების პრობლემები, ყველამ აჩვენა ეს. ამ პრობლემების შესაჩერებლად, სანამ ისინი გამოჩნდება, Linux Foundation-ის ძირითადი ინფრასტრუქტურის ინიციატივა (CII) დააფინანსა უსაფრთხოების სამი ახალი პროექტი ნახევარ მილიონ დოლარზე ნაკლები, მათ შორის ახალი ღია კოდის ავტომატური ტესტირების პროექტი; Reproducible Builds ინიციატივა; და IT უსაფრთხოების მკვლევარის ჰანო ბოკის Fuzzing Project. გარდა ამისა, Linux Foundation გამოაცხადა რომ ემილი რატლიფიLinux-ის, სისტემის და ღრუბლოვანი უსაფრთხოების ექსპერტი, AMD-სა და IBM-ში 20 წელზე მეტი გამოცდილებით, ზედამხედველობას გაუწევს CII-ს, როგორც ინფრასტრუქტურის უსაფრთხოების უფროს დირექტორს.
cii-logo.png

რეპროდუცირებადი შენობები: რეპროდუცირებადი შენობების მიზანი არის იმის საშუალება, რომ ვინმემ განაახლოს, ცალ-ცალკე, იდენტური ბინარული პროგრამები მისი საწყისი კოდიდან. ეს საშუალებას მისცემს დეველოპერებს დამოუკიდებლად დაადასტურონ, რომ ორობითი რეალურად მოდის მისი საწყისი კოდიდან.

დღეს ეს ძალიან რთულია. როგორც წესი, შემდგენელის გამომავალი განსხვავდება ერთი ვერსიიდან მეორეზე. ამრიგად, მაშინაც კი, როდესაც პროგრამისტი ორიგინალური build გარემოს რაც შეიძლება მჭიდროდ რეპროდუცირებს, ტრივიალური განსხვავებები, როგორიცაა თარიღი და დრო ან ფაილების შეკვეთა, შეიძლება წარმოქმნას სხვადასხვა ორობითი ფაილები. ამ პროექტის მიზანია გააადვილოს კონკრეტული სამშენებლო გარემოს ჩაწერა და აღდგენა და კომპილაციის პროცესების სრულად განმსაზღვრელი. ეს გაკეთდება ვარიაციების მოხსნით ან ნორმალიზებით.

Debian-ის დეველოპერები ჰოლგერ ლევსენი და ჯერემი ბობიო ხელმძღვანელობენ ამ დიდ ძალისხმევას, რათა აღმოიფხვრას არასაჭირო ვარიაციები ათასობით უფასო პროგრამული პროექტის მშენებლობის პროცესებიდან. ისინი ასევე ქმნიან ინსტრუმენტებს ამ განსხვავებების წყაროს გასაგებად და ინფრასტრუქტურის განახლებისთვის, რათა დეველოპერებს დამოუკიდებლად დაადასტურონ ბინარული განაწილების ავთენტურობა.

იმის უზრუნველყოფა, რომ მშენებლობის პროცესში ხარვეზები არ არის დანერგილი, მნიშვნელოვნად გააუმჯობესებს პროგრამული უზრუნველყოფის უსაფრთხოებას და კონტროლს. ამ ნამუშევარმა უკვე მიაღწია მნიშვნელოვან პროგრესს Debian-ში და ისინი თავის ინსტრუმენტებს ხელმისაწვდომს ხდიან Fedora, Ubuntu, OpenWrt და სხვა Linux დისტრიბუციებისთვის.

Fuzzing პროექტი:ბუნდოვანი არის პროგრამული უზრუნველყოფის ტესტირების ტექნიკა. ეს არის შავი ყუთის პროგრამული ტესტირება, რომელიც ავტომატურად შეჰყავს ნახევრად შემთხვევით მონაცემებს პროგრამაში შეცდომების აღმოსაჩენად.

უსაფრთხოების მკვლევარი ჰანო ბეკი სათავეში უდგას Fuzzing Project-ს, რომელიც კოორდინაციას უწევს ღია პროგრამული უზრუნველყოფის ფაზურ პროექტებს. Fuzzing Project-მა უკვე იპოვა მრავალი დაუცველობა ცნობილ პროგრამებში, როგორიცაა GnuPG და OpenSSL შეცდომები. პროექტის უშუალო მიზანია ფუზინგის ინსტრუმენტების გაუმჯობესება და დოკუმენტირება.

ცრუ დადებითი უფასო ტესტირება: პასკალ კუოკი, მთავარი მეცნიერი და თანადამფუძნებელი TrustInSoft, მიიღებს გრანტს ღია კოდის ასაშენებლად TIS თარჯიმანი. ეს პროგრამა აშენდება TIS Analyzer-ისგან, კომერციული პროგრამული ანალიზის ინსტრუმენტის საფუძველზე ფრამა C. Frama C არის გამართვა, რომელიც მუშაობს C პროგრამის განცხადებების ინტერპრეტაციით თავიდან ბოლომდე. ის ამოწმებს ყოველი განცხადებით, შეუძლია თუ არა შემოწმებულ პროგრამას გამოუყენოს დაუზუსტებელი ქცევა.

ისტორიულად, TIS ანალიზატორი და სხვა პროგრამები, რომლებიც იყენებენ Frama C-ს, შეუძლიათ ცრუ პოზიტივის წარმოქმნა. ამ ახალი პროგრამით მიზანია შეიმუშაოს მეთოდოლოგია, რომელიც აღმოაჩენს შეცდომებს ცრუ პოზიტივის გარეშე. ამრიგად, ნებისმიერი შეცდომა, რომელიც დაფიქსირდა, იქნება ნამდვილი შეცდომა.

ამერიკული Fuzzy Lop fuzzer გამოყენებული იქნება OpenSSL-ისთვის ახალი სატესტო შემთხვევების ავტომატურად გენერირებისთვის, საიდანაც TIS თარჯიმანს შეუძლია შეცდომების აღმოჩენა. მოსალოდნელია, რომ TIS თარჯიმანის ღია წყაროს ვერსია გამოვა 2016 წლის დასაწყისში. ეს ვერსია გამიზნული იქნება OpenSSL. წარმატების შემთხვევაში, TIS Interpreter გავრცელდება სხვა ღია კოდის პროგრამებზე.

უსაფრთხოება

  • უაღრესად დაცული დისტანციური მუშაკების 8 ჩვევა
  • როგორ მოვძებნოთ და ამოიღოთ spyware თქვენი ტელეფონიდან
  • საუკეთესო VPN სერვისები: როგორ ადარებენ საუკეთესო ხუთეულს?
  • როგორ გავარკვიოთ, ხართ თუ არა ჩართული მონაცემების დარღვევაში -- და რა უნდა გააკეთოთ შემდეგ

„მიუხედავად იმისა, რომ თითოეული პროექტი, რომლისთვისაც დღეს ვაცხადებთ დაფინანსებას, საკმაოდ განსხვავებულია, თითოეული გადამწყვეტია ჩვენი გლობალური გამოთვლითი ინფრასტრუქტურისა და კიბერუსაფრთხოებისთვის. ეს ახალი გრანტები, ემილის ვარსკვლავურ დამატებასთან ერთად, ნიშნავს, რომ CII კარგად არის განლაგებული კრიტიკული საკითხების მოსაგვარებლად. ინფრასტრუქტურის დაუცველობა მომდევნო თვეებში და წლებში“, - თქვა ჯიმ ზემლინმა, Linux Foundation-ის აღმასრულებელმა დირექტორმა. განცხადება. დაასკვნა მან. „ემილის ლინუქსის უსაფრთხოების ფართო გამოცდილება და სტანდარტების ჩართვა იქნება CII-ის მუშაობის მთავარი აქტივი, რადგან ჩვენ გადავდივართ წერტილოვანი შესწორებების მიღმა, უფრო ჰოლისტიკური გადაწყვეტილებებისკენ ღია კოდის უსაფრთხოებისთვის“.

The CII დაარსდა 2014 წელს საკვანძო ღია კოდის პროექტის უსაფრთხოების გასაძლიერებლად. CII იღებს საგრანტო განაცხადებს პრიორიტეტით არასაკმარისად დაფინანსებულ ღია კოდის პროექტებს, რომლებიც მხარს უჭერენ ყველაზე დიდ ინფრასტრუქტურას. მართვის კომიტეტი ყოველკვარტალურად იკრიბება უსაფრთხოების წინადადებების განსახილველად. საგრანტო განაცხადის გასაგზავნად ან დამატებითი ინფორმაციის მისაღებად გადადით მისამართზე CII საიტი.

დაკავშირებული ისტორიები:

  • მისია: ყველა იმ მცირე, მაგრამ მნიშვნელოვანი ღია კოდის პროექტის დაფინანსება
  • NCC ჯგუფი აუდიტს ჩაატარებს OpenSSL-ს უსაფრთხოების ხვრელებისთვის
  • Cisco, Microsoft, VMware და სხვა ტექნიკური გიგანტები ერთიანდებიან კრიტიკული ღია კოდის პროექტების უკან