Напа, Калифорния. Они, в свою очередь, назначаются властями именования CVE (CNA). Кто их управляет, спросите вы? Ну, скоро, если вы, ваш проект с открытым исходным кодом, или проект. Готовый? Наверное, нет.
CVE являются стандартизированными идентификаторами для уязвимостей безопасности, а CNA являются объектами, уполномоченными назначать эти идентификаторы. Традиционно такие компании, как Red Hat и Oracle, управляли CVE для проектов с открытым исходным кодом. Этот подход всегда имеет проблему, что поставщики, конечно, сосредоточились на соответствующих уязвимости для своих продуктов.
Этого уже недостаточно. Поскольку Закон о кибер-устойчивости Европейского Союза (ЕС) (CRA) был принят любое программное обеспечение с открытым исходным кодом, которое использовалось в «коммерческой деятельности», должно «внедрить и документировать политику кибербезопасности, уведомить органы кибербезопасности активно использования уязвимостей». Короче говоря, вам вполне может стать CNA и выпустить CVES.
Есть и другие веские причины для этого. Например, вы можете убедиться, что все уязвимости, независимо от того, что выясняются и рассматриваются. С другой стороны, вы можете. Как разработчик Red Hat Nikita Popov, поместите его на Ycombinator, вы можете «сократить количество поддельных, которые выпущены для вашего проекта из -за того, что исследователи безопасности пытались подумать о своем портфеле».
Наполовину выпеченные CVES
Поток наполовину выпеченных CVE может быть серьезной болью. Просто спросите Даниэля Стенберга, основателя и ведущего разработчика популярной командной строки с открытым исходным кодом для передачи данных через URL, которые уже много лет борется с фиктивными CVES. Поскольку это время и энергию разработчиков впустую Керла, Стенберг решил, что в 2024 году было высоко, чтобы получить контроль над CVE CURL и «затруднить подачу более глупых CURL CVES в будущем».
Разработчики ядра Linux также стали CNA в том же году. Как писал Грег Кроа-Хартман, стабильный содействие ядрам Linux, в то время, в то время как он думает « [CVE] Система в целом сломана во многих отношениях, но это изменение — способ для нас взять на это большую ответственность и, надеюсь, сделать процесс лучше с течением времени ». Кроа-Хартман добавил: «Похоже, все проекты с открытым исходным кодом могут быть обязаны делать с недавними правилами и законами». Этот день наступил.
На саммите члена Фонда Linux Кроа-Хартман заявил в презентации, что в ЕС «CRA станет ответственным за проекты, в то время как сша предполагают, что проекты несут ответственность. Из-за того, что« проекты с открытым исходным кодом больше не могут скрываться за компаниями ». Другими словами, «Red Hat смотрит на Red Hat, а не вас».
К счастью, Кроа-Хартман продолжил, что организациям с открытым исходным кодом стал гораздо легче стать CNA. Это благодаря работе CVE.org и Фонда безопасности программного обеспечения с открытым исходным кодом (OpenSSF), становятся намного легче стать CNA. Чтобы www, как это сделать и что делать, чтобы оставаться в хорошей репутации, Github собрал полезное руководство CNA.
Какие уязвимости безопасности требуют CVE? Согласно группе CVE, это «пример одного или нескольких слабостей в продукте, который может быть использован, что дает негативное влияние на конфиденциальность, целостность или доступность; набор условий или поведения, которые позволяют нарушать явную или неявную политику безопасности».
Тем не менее, Кроа-Хартман отметил, что некоторые вещи, которые вы можете предположить, являются уязвимостью, которые потребуют CVE, не получите его. Например, проблемы повреждения данных и производительности не считаются достойными CVE. Имейте в виду, вы можете рассматривать «ошибку, которая перезаписывает ваш диск с помощью нулей», является серьезной проблемой. Грег, конечно, думает: «Если я потеряю свои данные, я буду злиться. Но так как вы не потеряли свои данные злоумышленнику, это не« проблема безопасности ».
Хотя эта точка зрения может оставаться тем, как такие случаи рассматриваются в Соединенных Штатах и Китае, которые также используют CVE, ЕС может изменить свои правила CVE. Чиновники в Брюсселе рассматривают возможность включения проблем с коррупцией данных и производительности системы в качестве вопросов, которые программисты, компании и организации с открытым исходным кодом должны будут отслеживать. Следите за обновлениями.
Теперь, когда разработчики ядра Linux выпускают CVES, Кроа-Хартман объяснил, что они также предлагают информацию о уязвимости безопасности Linux публичное репо в формате JSON. Он «считает, что все проекты должны иметь публичное репо с этой информацией в читаемой форме, которую можно сканировать, можно найти».
Это важно, потому что это может помочь вам автоматизировать процесс назначения, отчетности и разрешения. Поверьте мне, вы захотите автоматизировать этот процесс. Одно ядро Linux составляет в среднем 94 CVE в неделю. Не паникуйте по номеру, немногие из этих CVE когда -либо доставит вам проблемы. Кроа-Хартман добавил: «Быть CNA привело к значительному падению в ложности [CVE] Негативы с небольшим ударом ложных срабатываний с чистым преимуществом для выявления фиксированных недостатков ».
Он продолжил, что CVE выпускаются только после того, как патчи были сделаны. Там нет предварительного раскрытия вообще! » Это связано с тем, что с точки зрения команды Linux ядра, «все списки раннего уведомления» — это утечка ».
Другим важным моментом является то, что в случае ядра Linux и некоторых других проектов, таких как Curl, они не назначают общие оценки системы оценки уязвимости (CVSS) для своих CVE. Это оценки, в диапазоне от 0,1 до 10, используемых для выявления серьезности данной дыры безопасности.
Почему? Как объяснил Грег, «у Linux много вариантов использования». Например, известно, была одна ошибка Linux, которая была выпущена очень, очень высокой оценкой, потому что, когда она используется в Android, вы могли бы взять заблокированный телефон с этой ошибкой. Люди сервера говорили: «Почему это так высоко? Это не влияет на нас вообще, потому что это не наш случай использования ». В конце концов, однако, этот CVE «оказался в списке правительства сша, который обязал, чтобы все системы Linux должны были принять это исправление, даже если это не имеет значения на серверах. Так что для них у него был балл CVSS нулевой ». Таким образом, если в вашем проекте также есть многочисленные варианты использования, он предупреждает, что вам может быть лучше держаться подальше от назначения CVSS.
Кроа-Хартман также настоятельно рекомендует, чтобы все проекты с открытым исходным кодом должны:
- Станьте CNA, чтобы они могли контролировать свою судьбу.
- Написать инструменты для автоматизации вещей
- Сохранить информацию нейтральным образом
Да, это потребует большей работы, но, помимо необходимости для того, чтобы вскоре вести бизнес в ЕС, правильно, это позволит вам предоставить высококачественные, подробные отчеты об уязвимости, включая конкретные коммиты и затронутые кодексы. Это, в свою очередь, позволит вашим внутренним и внешним разработчикам и даже вашим пользователям лучше понимать и решать проблемы безопасности.
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Стивен Дж. Воган-Николс, известный как SJVN, пишет о технологиях и технологии, так как CP/M-80 был передовой операционной системой ПК, 300BPS был быстрым подключением к Интернету, WordStar был современным текстовым процессором, и нам понравилось. Подробнее от Стивена Дж. Вогана-Николса
