Amazon Web Services (AWS), bugün kısmen yazılım tedarik zinciri güvenliğiyle ilgili endişeleri gidermek için tasarlanmış bir hareket olan iki yeni açık kaynak projesi başlattı.
Amazon bulut bilgi işlem iştiraki, açık kaynaklı yeni bir fuzzing aracı olduğunu ortaya çıkardı. SnapChange ve yakın zamanda kullanıma sunulan bir yetkilendirme politikası dili ve SDK adı verilen Sedir.
Tedarik zinciri
beğenenler ile SolarWinds ve Log4J Son birkaç yılda yazılım tedarik zinciri güvenliğini kamu bilincine iterek, hükümetler ve hastanelerden şirketlere ve ötesinde herkesi kullandıkları yazılımlardaki zayıflıkları istismar etmeye çalışan kötü aktörlerden korumaya daha fazla kaynak yatırmak için ortak bir çaba gösterildi.
ABD’de, Başkan Biden 2021’de bir icra emri çıkardı Bu tür tehditlere karşı koymak için tasarlanmış çeşitli önlemlerin ana hatlarını çizerek, Big Tech’in en azından biraz proaktif olduklarını göstermek için çeşitli girişimler başlatmasına yol açtı. Örneğin geçen yıl Amazon, Google ve Microsoft gibi şirketler 30 milyon dolar taahhüt etti açık kaynak yazılım güvenliğini desteklemek için.
Ancak bu yürütme emrinin ardından ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) de yazılım doğrulaması için yayınlanan yönergeler bir parçası olarak tavsiye edilen sözde “tüylenme” ile minimum standartlar yazılım testi için.
Fuzzing veya başka adıyla fuzz testi, nasıl tepki verdiğini görmek için bir programa rastgele veya geçersiz veriler atarak yazılımın sağlamlığını sürekli olarak test etmenin bir yoludur. Bu, vahşi ortamda istismar edilmeden önce kusurları otomatik olarak bulmanın etkili bir yolu olabilir.
Ve AWS, SnapChange’i açık kaynak olarak kullanıyor.
Açık kaynak oluyor
ilan edildi Açık Kaynak Zirvesi Kuzey Amerika bugün, SnapChange AWS’nin adlandırdığı dahili bir ekibin ilk meyveleri Bul ve Düzelt.
Bu ekip, daha sonra bulgularını ilgili proje sorumlusu ile paylaşan, kritik açık kaynak yazılımlardaki hataları bulmak ve düzeltmekle görevli tam zamanlı güvenlik araştırmacılarından oluşur. AWS, çalışan yamalar sağlamak için bakıcılarla da çalışabileceğini söylüyor.
SnapChange deneysel bir bulanıklaştırma aracı olarak başladı, ancak şimdi GitHub aracılığıyla herkesin kullanımına sunuluyor. Geleneksel bulanıklaştırıcılar yazılımdaki hataları bulmada etkiliyken, SnapChange tamamen “anlık görüntü” bulanıklaştırmayla ilgilidir; bu, ulaşılması zor kodlarda daha ayrıntılı yürütme için öykünücüler gibi sanallaştırma teknolojilerini kullanan daha gelişmiş bir enkarnasyondur.
Bu aynı zamanda Google dahil olmak üzere bulut rakipleri tarafından yapılan hamleleri de yansıtıyor. açık kaynaklı ClusterFuzz bulanıklaştırma aracı ardından KümeFuzzLite. Microsoft ayrıca açık kaynaklı bir fuzzing platformu 2020’de OneFuzz olarak adlandırıldı.
Başka bir yerde, AWS yakın zamanda oluşturuldu yazılımda erişim izinlerini tanımlamakla ilgilenen ve geliştiricilerin izinleri ayrıntılı bir şekilde şart koşan politikalar yazmasına izin veren Cedar adlı yeni bir yetkilendirme politikası dili. Cedar ile şirketler, bir fotoğraf paylaşım uygulamasındaki fotoğraflar veya bir mikro hizmetler kümesindeki belirli düğümler gibi belirli kaynaklara erişimi kontrol edebilir.
Bugün itibariyle, Cedar SDK GitHub’da mevcut Cedar gelişimine şeffaflık getirme vaadiyle (“belirsizlik nedeniyle güvenlik yoktur”) ve herhangi bir üçüncü tarafın kendi katkılarını yapmasına izin verme.
kim kimdir ne zaman nasıl nelerdir nedir ne işe yarar tüm bilgiler
dünyadan ilginç ve değişik haberler en garip haberler burada