BİLİM VE TEKNOLOJİ - Google Hata Ayıklamaları, JFrog Jumps Kodu, Gizli Kubernet'ler, Meta-PyTorch Açık kaynak modeli, kuruluşta sürdürülebilirliğini kanıtlamaya devam ettikçe, yazılım topluluğu güvenlik anlayışını artırıyor. Bu endişe, önde gelen Linux gruplarının daha iyi kod güvenliğine öncülük etmesiyle son haftalarda belirgindi.Google, yazılım güvenlik açıklarını sıfırlamak için yeni bir girişim duyurdu. Halihazırda cömert bir yama teşviki sağlayıcısı olan yazılım geliştiricisi, daha fazla araştırmacıyı nakit karşılığında zahmetli kodlar göndermeye teşvik etmek için bahsi yükseltti.Edgeless Systems çarpıcı bir açık kaynak katkısı yaptı, JFrog daha gösterişli bir Rust Foundation'ı desteklemek için ilerlemeler sundu ve Facebook da Meta AI için sınırları zorladı.
Edgeless Systems, 13 Eylül'de Confidential Computing tabanlı ilk Confidential Kubernetes'i piyasaya sürdü. GitHub'daki tüm kullanıcılar tarafından kullanılabilir.Constellation açık kaynak projesi, Kubernetes kümelerini temeldeki bulut altyapısından doğrulanabilir şekilde korumalı ve uçtan uca şifrelenmiş durumda tutar. Confidential Computing, bilgisayar iş yüklerini bulundukları ortamlardan koruyan ve verileri işleme sırasında bile şifrelenmiş halde tutan, donanım tabanlı bir teknolojidir.Bu gelişme, bilgi işlem giderek daha çeşitli ortamları kapsadığı için çok büyük bir güvenlik gereksinimini karşılamaya yardımcı olur. Kuruluşların ve geliştiricilerin artan güvenlik ve uyumluluk endişelerini yönetmelerine yardımcı olur. Constellation'ın açık kaynaklı olmasıyla, daha fazla Kubernetes kullanıcısı bekleyen, aktarılan ve şu anda kullanımda olan tüm verilerinin güvenliğini sağlayabilir.
Hemen başlayarak, JFrog Güvenlik Araştırma ekibi, keşfedilen platform sorunlarını proaktif olarak değiştirmek ve ortaya çıkan güvenlik açıklarının gelecekteki etkilerini önlemek için bilinen yazılım güvenlik açıkları, devam eden tehdit araştırmaları ve geliştirici kaynakları hakkındaki tüm bilgilere erişim sağlayacaktır.“Yazılım tedarik zincirini güvence altına almak, tek seferlik bir çabayla sağlanamaz. Sürekli taahhüt ve çok katmanlı bir yaklaşım gerektirir. JFrog'da geliştirici ilişkileri başkan yardımcısı Stephen Chin, "Bellek açısından güvenli dillerin bu planda büyük bir rol oynadığına inanıyoruz" dedi."Rust Foundation ile el ele çalışarak, bu mihenk taşı programlama dilinin modern, güvenli yazılımların geliştirilmesinde önerilen en iyi uygulama olarak kalmasını sağlayabiliriz" diye ekledi.Google tarafından yapılan bir araştırma, bellek güvenliği sorunlarının, on yıldan fazla bir süredir kritik güvenlik açığı riskleri (CVE'ler) olarak tanımlanan güvenlik açıklarıyla neredeyse aynı oranda temsil edildiğini gösterdi. Son iki yılda 2,2 milyon geliştirici tarafından kullanıldığı bildirilen Rust programlama dili, sıfırdan hem bellek açısından güvenli olacak hem de yüksek performans sağlayacak şekilde tasarlandı.Bu, dilin kullanıcıların erişmelerine izin verilmeyen belleğe erişmelerine izin vermediği anlamına gelir. Bu da, dili güvensiz hale getirebilecek, bilmeden kötü amaçlı kod ekleme yeteneklerini önemli ölçüde azaltır.Bu nedenle, Rust, Açık Kaynak Güvenlik Vakfı (OpenSSF) tarafından "kritik bir açık kaynaklı yazılım projesi" olarak tanımlandı ve Rust'ın güvenliğini iyileştirmek için yeni ve henüz keşfedilmemiş güvenlik açıklarını belirlemeye yardımcı olmak için OpenSSF'nin Alpha-Omega Projesi kapsamında destek verildi. duruş.JFrog'un gelişmiş güvenlik araçları, araştırması ve uzmanlığı ile birleşen Rust'ın doğal kararlılığı ve performansı, zamanla Rust dilinin güvenliğini sağlamaya yardımcı olacaktır.Rust Vakfı İcra Direktörü Bec Rumbul, "Bu yatırımın Rust'ı güvenli, emniyetli ve sürdürülebilir kılarak yeni kullanım durumları ve daha geniş endüstri benimsenmesine olanak sağlayacağına inanıyorum" dedi.
Google, Etkilenen Açık Kaynak Kodu İçin Hata Ödülü Sunuyor
Google, Google'ın Golang, Angular ve Fuchsia gibi açık kaynak projelerindeki güvenlik açıklarının keşfedilmesini ödüllendirmek için Açık Kaynak Yazılım Güvenlik Açığı Ödül Programını (OSS VRP) yaz sonunda başlattı. Program, Google'ın yaklaşık 12 yıl önce başlattığı ödül kampanyasına katılıyor.Zamanla kampanya, Chrome, Android ve diğer alanlara odaklanan programları içerecek şekilde genişledi. Toplu olarak, bu programlar 13.000'den fazla başvuruyu ödüllendirdi ve toplamda 38 milyon doların üzerinde ödeme yapıldı.Bu yeni programın eklenmesi, artan tedarik zinciri tavizlerinin her zamankinden daha yaygın olan gerçeğini ele alıyor. Geçen yıl, tek bir açık kaynak güvenlik açığının yıkıcı potansiyelini gösteren Codecov ve Log4j güvenlik açığı gibi önemli olaylar da dahil olmak üzere, açık kaynak tedarik zincirini hedef alan saldırılarda yıldan yıla %650 artış görüldü.Google'ın OSS VRP'si, tedarik zincirini hem Google kullanıcıları hem de dünya çapındaki açık kaynak tüketicileri için bu tür saldırılara karşı güvence altına almak da dahil olmak üzere siber güvenliği iyileştirmeye yönelik 10 milyar dolarlık taahhüdün bir parçasıdır.“Açık kaynaklı yazılımları ve daha geniş yazılım tedarik zincirini güvence altına almak, dünya çapındaki güvenlik kuruluşları için en önemli endişe kaynağı olmaya devam ediyor. Google, araştırmacı topluluğunun insan zekasından yararlanarak, açık kaynak projelerinin güvenli olmasını sağlamaya kararlı olduklarını gösteriyor.Kitle kaynaklı siber güvenlik firması Bugcrowd'un işletme müdürü Dave Gerry, "Bu, OSS'deki bir liderin güvenli OSS bileşenleri sağladıklarından emin olmak için attığı büyük bir adımı temsil ediyor" dedi.Nasıl çalışır?
En büyük ödüller, en hassas projelerde bulunan güvenlik açıklarına verilecek: Bazel, Angular, Golang, Protocol buffers ve Fuchsia. İlk lansmandan sonra, Google bu listeyi genişletmeyi planlıyor.Araştırmacılar, tedarik zinciri üzerinde en büyük etkiye sahip olan keşiflere odaklanmalıdır. Hedef kod, tedarik zinciri güvenliğinin aşılmasına yol açan güvenlik açıklarını, ürün güvenlik açıklarına neden olan tasarım sorunlarını ve hassas veya sızdırılmış kimlik bilgileri, zayıf parolalar veya güvenli olmayan kurulumlar gibi diğer güvenlik sorunlarını içerir.Güvenlik açığının ciddiyetine ve projenin önemine bağlı olarak, ödüller 100 ABD Doları ile 31.337 ABD Doları arasında değişecektir. Daha büyük miktarlar ayrıca alışılmadık veya özellikle ilginç güvenlik açıklarına gidecek, bu nedenle yaratıcılık teşvik ediliyor.Daha fazla bilgi için program kurallarına bakın. Gönderimler başka bir Google kod avı kampanyasına daha uygunsa, Google bunu sizin için farklı bir VRP'ye gönderir.Ayrıca, OSS-Fuzz'daki fuzzing entegrasyonları için Google'ın açık kaynak projelerinde 20.000 ABD dolarına varan güvenlik iyileştirmelerini ödüllendiren Yama Ödülleri programını da kontrol edin.“OSS projeleri zaten kod üzerinde daha fazla gözetleme avantajına sahip, bu da genellikle güvenlik açıklarının hızla bulunmasına ve düzeltilmesine yol açıyor. Bunun gibi bir hata ödül programı, insanları daha derinlemesine incelemeye teşvik edecektir.Bir SaaS olan Vulcan Cyber'de kıdemli teknik mühendis olan Mike Parkin, "İdeal olarak, bunun gibi bir program, diğer hayati ancak çok iyi finanse edilmemiş OSS projelerine de yardımcı olmak için büyük teknoloji şirketleriyle bağları olan 'sponsorlu' projelerin dışına genişleyebilir" dedi. kurumsal siber risk iyileştirme sağlayıcısı.Endüstri, Açık Kaynak Olarak İlk Çalışma Zamanı Şifreli Kubernetes'i AldıEdgeless Systems, 13 Eylül'de Confidential Computing tabanlı ilk Confidential Kubernetes'i piyasaya sürdü. GitHub'daki tüm kullanıcılar tarafından kullanılabilir.Constellation açık kaynak projesi, Kubernetes kümelerini temeldeki bulut altyapısından doğrulanabilir şekilde korumalı ve uçtan uca şifrelenmiş durumda tutar. Confidential Computing, bilgisayar iş yüklerini bulundukları ortamlardan koruyan ve verileri işleme sırasında bile şifrelenmiş halde tutan, donanım tabanlı bir teknolojidir.Bu gelişme, bilgi işlem giderek daha çeşitli ortamları kapsadığı için çok büyük bir güvenlik gereksinimini karşılamaya yardımcı olur. Kuruluşların ve geliştiricilerin artan güvenlik ve uyumluluk endişelerini yönetmelerine yardımcı olur. Constellation'ın açık kaynaklı olmasıyla, daha fazla Kubernetes kullanıcısı bekleyen, aktarılan ve şu anda kullanımda olan tüm verilerinin güvenliğini sağlayabilir.
JFrog, Rust'ın OSS Güvenlik Açıklarını Ortadan Kaldırma Çabalarına Ekliyor
Açık kaynak topluluğu, özel programlar da dahil olmak üzere dünyadaki yazılımların büyük çoğunluğunda çalışan kodun güvenliğini artırma konusunda ilgi görüyor.Liquid Software şirketi ve JFrog DevOps Platformunun yaratıcıları JFrog, 13 Eylül'de Rust programlama dilini yöneten, kar amacı gütmeyen bağımsız bir kuruluş olan Rust Foundation ile yeni bir girişim başlattığını duyurdu. Ortaklık, Rust platformuna ve ekosistemine yönelik tehditleri belirlemeye ve ortadan kaldırmaya odaklanıyor.Hemen başlayarak, JFrog Güvenlik Araştırma ekibi, keşfedilen platform sorunlarını proaktif olarak değiştirmek ve ortaya çıkan güvenlik açıklarının gelecekteki etkilerini önlemek için bilinen yazılım güvenlik açıkları, devam eden tehdit araştırmaları ve geliştirici kaynakları hakkındaki tüm bilgilere erişim sağlayacaktır.“Yazılım tedarik zincirini güvence altına almak, tek seferlik bir çabayla sağlanamaz. Sürekli taahhüt ve çok katmanlı bir yaklaşım gerektirir. JFrog'da geliştirici ilişkileri başkan yardımcısı Stephen Chin, "Bellek açısından güvenli dillerin bu planda büyük bir rol oynadığına inanıyoruz" dedi."Rust Foundation ile el ele çalışarak, bu mihenk taşı programlama dilinin modern, güvenli yazılımların geliştirilmesinde önerilen en iyi uygulama olarak kalmasını sağlayabiliriz" diye ekledi.Google tarafından yapılan bir araştırma, bellek güvenliği sorunlarının, on yıldan fazla bir süredir kritik güvenlik açığı riskleri (CVE'ler) olarak tanımlanan güvenlik açıklarıyla neredeyse aynı oranda temsil edildiğini gösterdi. Son iki yılda 2,2 milyon geliştirici tarafından kullanıldığı bildirilen Rust programlama dili, sıfırdan hem bellek açısından güvenli olacak hem de yüksek performans sağlayacak şekilde tasarlandı.Bu, dilin kullanıcıların erişmelerine izin verilmeyen belleğe erişmelerine izin vermediği anlamına gelir. Bu da, dili güvensiz hale getirebilecek, bilmeden kötü amaçlı kod ekleme yeteneklerini önemli ölçüde azaltır.Bu nedenle, Rust, Açık Kaynak Güvenlik Vakfı (OpenSSF) tarafından "kritik bir açık kaynaklı yazılım projesi" olarak tanımlandı ve Rust'ın güvenliğini iyileştirmek için yeni ve henüz keşfedilmemiş güvenlik açıklarını belirlemeye yardımcı olmak için OpenSSF'nin Alpha-Omega Projesi kapsamında destek verildi. duruş.JFrog'un gelişmiş güvenlik araçları, araştırması ve uzmanlığı ile birleşen Rust'ın doğal kararlılığı ve performansı, zamanla Rust dilinin güvenliğini sağlamaya yardımcı olacaktır.Rust Vakfı İcra Direktörü Bec Rumbul, "Bu yatırımın Rust'ı güvenli, emniyetli ve sürdürülebilir kılarak yeni kullanım durumları ve daha geniş endüstri benimsenmesine olanak sağlayacağına inanıyorum" dedi.