Mitigación de problemas de seguridad de la memoria en software program de código abierto


Las vulnerabilidades de seguridad de la memoria han dominado el campo de la seguridad durante años y, a menudo, conducen a problemas que pueden explotarse para hacerse cargo de sistemas completos.

A estudio reciente encontró que «~ 70% de las vulnerabilidades que se solucionan mediante una actualización de seguridad cada año siguen siendo problemas de seguridad de la memoria». Otro análisis sobre problemas de seguridad en la omnipresente herramienta de línea de comandos `curl` mostró que 53 de 95 errores se habría evitado por completo utilizando un lenguaje seguro para la memoria.

El software escrito en lenguajes inseguros a menudo contiene errores difíciles de detectar que pueden provocar graves vulnerabilidades de seguridad, y Google nos toma muy en serio estos problemas. Es por eso que estamos ampliando nuestra colaboración con el Grupo de investigación de seguridad de Internet para apoyar la reimplementación de application crítico de código abierto en lenguajes seguros para la memoria. Anteriormente, trabajamos con el ISRG para ayudar a proteger World-wide-web al hacer que los certificados TLS estén disponibles para todos de forma gratuita, y esperamos continuar trabajando juntos en esta nueva iniciativa.

Es hora de comenzar a aprovechar los lenguajes de programación seguros para la memoria que evitan que se introduzcan estos errores. En Google, nosotros entender el valor de la comunidad de código abierto y en retribuir para apoyar un ecosistema fuerte.

Hasta la fecha, nuestro libre OSS-Fuzz el servicio ha encontrado más 5.500 vulnerabilidades en 375 proyectos de código abierto causados ​​por errores de seguridad de la memoria, y nuestro Programa de recompensas ayuda a fomentar la adopción de fuzzing a través de incentivos financieros. También hemos lanzado otros proyectos como Syzkaller detectar insectos en los núcleos del sistema operativo y en entornos sandbox como gVisor para reducir el impacto de los errores cuando se encuentran.

El enfoque del ISRG de trabajar directamente con los mantenedores para respaldar las herramientas de reescritura y las bibliotecas de manera incremental se ajusta directamente a nuestra perspectiva aquí en Google.

El nuevo a base de óxido Backends HTTP y TLS para curl y ahora esta nueva biblioteca TLS para Apache httpd son un punto de partida importante en este esfuerzo typical. Estas bases de código se encuentran en la puerta de entrada a World-wide-web y su seguridad es essential para la protección de datos de millones de usuarios en todo el mundo.

Nos gustaría agradecer a los responsables de estos proyectos por trabajar en una infraestructura tan importante y ampliamente utilizada, y por participar en este esfuerzo.

Estamos felices de poder apoyar a estas comunidades y al ISRG para hacer de Web un lugar más seguro. Apreciamos su liderazgo en esta área y esperamos expandir este programa en 2021.

La seguridad de código abierto es un esfuerzo colaborativo. Si está interesado en conocer más sobre nuestros esfuerzos, únase a nosotros en el Asegurar proyectos críticos Grupo de Trabajo del Fundación de seguridad de código abierto.



Enlace a la noticia original