谷歌提出开源软件漏洞治理框架
|
由于近期发生的事件,软件界对供应链攻击的实际风险有了更加深刻的了解。因为全部代码和依赖关系都公开可查验,开源软件在安全方面的风险相对较小。一般来讲确实如此,但前提是人们真的有在查验。由于依赖关系众多,要监控所有这些依赖并不切实际,而且很多开源包并没有得到很好的维护。 程序通常直接或间接地依赖于数千个软件包和库。举例来说,Kubernetes现在依赖大约1000个软件包。与闭源软件相比,开源软件使用了更多的依赖库,并且供应商来源更加广泛;因此需要信任相当多的不同实体。这使得理解产品如何使用开源软件以及如何发现相关漏洞是极其困难的。此外,没有办法可以保证构建出的程序与其源代码相匹配。 退一步来讲,虽然供应链攻击是一种风险,但绝大多数漏洞都是普通的、无意的--善意的开发者所犯的无心之过。此外,相较于亲自发现漏洞,恶意攻击者更倾向于利用已知漏洞,原因很简单:因为这会使得攻击更加容易。因此,我们必须集中精力做出根本性改变以解决大部分漏洞,唯有这样做才会使整个行业得以深入解决那些复杂问题(包括供应链攻击)。 几乎没有任何组织能够验证他们使用的所有程序包,更不用说这些包的更新了。就目前而言,跟踪这些软件包需要耗费大量的基础设施和显著的人力开销。我们在Google拥有这些资源,并不遗余力管理我们使用的开源包--包括为我们内部使用的所有开源包维护一个私有仓库--但想要跟踪全部的更新仍然困难重重。庞大的更新流令人望而生畏。所有解决方案的核心部分都是更高程度的自动化,这将是2021年及以后我们开源安全工作的关键主题。 因为这是一个需要行业合作的复杂问题,所以我们目的是围绕具体的目标展开对话。Google联合创立了OpenSSF并将其作为此次合作的重点。但是为了更进一步,我们需要整个行业参与进来,并就问题所在以及如何解决问题达成共识。作为开始,我们提出了解决此问题的一种方法,以及一系列具体的目标,希望这些目标可以加速产生整个行业的解决方案。 我们建议将这一挑战定义为三个基本独立的问题领域,每个领域都有具体的目标。
另一个相关但独立的问题是提高开发过程的安全性,这对保障供应链的安全至关重要。我们将在第四节"关键软件的预防措施"中概述该问题所面临的挑战并提出目标。
二、知悉已有漏洞 (编辑:青岛站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
