Lectura oscura | Seguridad | Proteja el negocio



Google continúa presionando para proporcionar a los desarrolladores de código abierto más herramientas para mejorar la seguridad de su program, con una actualización del esquema de vulnerabilidad de código abierto (OSV), una forma amigable para las máquinas de describir la información de vulnerabilidad, dijo la compañía esta semana.

El esquema OSV tiene como objetivo describir con precisión las vulnerabilidades de una manera adaptada al caso de uso de código abierto, «con el objetivo de automatizar y mejorar la clasificación de vulnerabilidades para desarrolladores y usuarios de computer software de código abierto», declaró Google en una publicación de site publicada el 24 de junio. El proyecto podría permitir que varias herramientas de desarrollo manejen de forma nativa información sobre vulnerabilidades y facilitar a los usuarios de componentes de código abierto saber si vulnerabilidades particulares afectan sus aplicaciones.

El objetivo es reducir el esfuerzo necesario para documentar las vulnerabilidades en proyectos de código abierto, para facilitar el seguimiento de los problemas, dice Abhishek Arya, ingeniero principal del grupo de seguridad de código abierto de Google.

«La intención es que haya un esfuerzo mínimo o nulo para emitir vulnerabilidades en el formato de esquema, y ​​los desarrolladores de código abierto reales tendrán que hacer la menor cantidad de trabajo», dice Arya. «Nuestro flujo de trabajo great es que un desarrollador de SO realice un compromiso en su repositorio, tal vez con algunos metadatos, y todos los sistemas automatizados lo recogerán y notificarán al consumidor».

El esquema OSV es el último esfuerzo de Google para hacer que la protección del computer software de código abierto sea más fácil y eficiente. A principios de junio, la compañía lanzó una aplicación en la nube que permite a los desarrolladores explorar los gráficos de dependencia de varios proyectos de código abierto. Llamada Perspectivas de código abierto, el sitio de visualización permite a cualquiera ver las bibliotecas de software package y otros componentes de código abierto en los que

En noviembre, la compañía también anunció, junto con la Open up Resource Security Foundation (OpenSSF), un proyecto llamado Cuadros de mando de seguridad para proyectos de código abierto que califica los proyectos en función de un conjunto de métricas de evaluación de seguridad.

«Un formato unificado significa que las bases de datos de vulnerabilidades, los usuarios de código abierto y los investigadores de seguridad pueden compartir fácilmente herramientas y consumir vulnerabilidades en todos los de código abierto», miembros de los equipos de desarrollo de Go y Seguridad de código abierto de Google. declarado en la publicación del weblog de OSV. «Esto significa una visión más completa de las vulnerabilidades en el código abierto para todos, así como tiempos de detección y corrección más rápidos como resultado de una automatización más sencilla».

Google lanzó la versión authentic del esquema en febrero, basada en el esquema de foundation de datos utilizado por el equipo de Rust para su base de datos de vulnerabilidades. La Fundación Rust ya había creado un formato legible por máquina como parte de su foundation de datos de asesoramiento RustSec mantenido por el Grupo de Trabajo del Código de Seguridad de Rust.

La última versión anunciada este mes también incluye soporte para las bases de datos de vulnerabilidades utilizadas por Go, Python y el sistema Dispersed Weakness Submitting (DWF), un proyecto de código abierto que tiene como objetivo recrear y aumentar el proyecto Popular Vulnerabilities and Exposures (CVE).

El proyecto CVE verifica los problemas de seguridad del program y asigna identificadores de vulnerabilidades, pero en 2016 y 2017 sufrió un enorme retraso debido a problemas operativos. MITRE, la organización gubernamental de I + D sin fines de lucro que gestiona el proceso de CVE, reorganizó el proceso de investigación e incorporó a más de un centenar de empresas y grupos como Autoridades de numeración de CVE.

El enfoque del esquema OSV en la automatización de máquinas para facilitar el manejo de la información de vulnerabilidad diferencia el esquema del well-liked marco CVE, dice Arya.

«Obtener un identificador CVE a menudo requiere mucho tiempo y mucho trabajo, por lo que tener este esquema uncomplicated que se centra en la automatización realmente ayuda», dice. «Así que podemos centrarnos en cuándo se introdujo un problema y cuándo se solucionó, en términos de hash de confirmación o en términos de versión, y luego cualquiera puede enviar esos parches».

MITRE no proporcionó información sobre si admitiría el formato o trabajaría con Google para combinar el esquema CVE con el esquema OSV. «Siempre estamos interesados ​​en ver nuevas suggestions de la comunidad de gestión de vulnerabilidades», dijo un portavoz de MITRE a través de un correo electrónico.

Después de varias iteraciones, el esquema OSV ahora se utiliza como formato de exportación para los datos en las bases de datos de vulnerabilidad y asesoramiento para Go, Rust, Python, OSS-Fuzz y DWF. Además, Google ha creado herramientas automatizadas para administrar bases de datos de vulnerabilidades que utilizan el esquema, incluida la coincidencia precisa con los repositorios de código abierto y la generación de datos adicionales, como las versiones afectadas, sin necesidad de intervención humana.

Google usó las herramientas para crear el foundation de datos de asesoramiento de Python de la comunidad, dijo la empresa.



Enlace a la noticia initial