Google propose un schéma unifié des vulnérabilités de sécurité pour les logiciels libres

by admin
Google propose un schéma unifié des vulnérabilités de sécurité pour les logiciels libres

H. James Harrington, auteur et expert en affaires, a dit un jour : “Si vous ne pouvez pas mesurer quelque chose, vous ne pouvez pas le comprendre. Si vous ne pouvez pas la comprendre, vous ne pouvez pas la contrôler. Et si vous ne pouvez pas la contrôler, vous ne pouvez pas l’améliorer.” Il avait raison. Et Google suit ce conseil en proposant une nouvelle façon de renforcer la sécurité des logiciels libres : un schéma d’échange de vulnérabilités visant à décrire les vulnérabilités dans les écosystèmes de logiciels libres.

C’est très important. Il existe de nombreuses bases de données sur les vulnérabilités de sécurité, mais il n’y a pas de format d’échange standard. Si vous voulez regrouper des informations provenant de plusieurs bases de données, vous devez traiter chacune d’entre elles séparément. C’est une véritable perte de temps et d’énergie. Au minimum, vous devez créer des analyseurs pour chaque format de base de données afin de fusionner leurs données. Tout cela rend le suivi systématique des dépendances et de la collaboration entre les bases de données de vulnérabilité beaucoup plus difficile qu’il ne devrait l’être.

publicité

Google s’est appuyé sur le travail déjà effectué sur la base de données Open Source Vulnerabilities (OSV) et sur le jeu de données de vulnérabilités de sécurité OSS-Fuzz. L’équipe de sécurité Open Source de Google, l’équipe Go et l’ensemble de la communauté open source ont contribué à la création de ce schéma d’échange de vulnérabilités. En travaillant sur ce schéma, ils ont pu communiquer des données précises sur les vulnérabilités pour des centaines de projets open-source critiques.

Aujourd’hui, l’OSV et le schéma ont été étendus à plusieurs nouveaux écosystèmes open-source clés : Go, Rust, Python et DWF. Cette extension permet d’unifier et de regrouper leurs bases de données de vulnérabilités. Les développeurs disposent ainsi d’un meilleur moyen de suivre et de corriger leurs problèmes de sécurité.

Ce nouveau schéma vise à résoudre certains problèmes clés de la gestion des vulnérabilités des logiciels libres.

  • Il impose une spécification de version qui correspond aux schémas de dénomination et de versioning utilisés dans les écosystèmes de paquets open-source. Par exemple, faire correspondre une vulnérabilité telle qu’un CVE à un nom de paquet et à un ensemble de versions dans un gestionnaire de paquets est difficile à faire de manière automatisée en utilisant les mécanismes existants tels que les CPE.

  • Il permet décrire les vulnérabilités dans n’importe quel écosystème open source, tout en ne nécessitant pas de logique dépendante de l’écosystème pour les traiter.

  • Il est facile à utiliser à la fois par les systèmes automatisés et les humains.

En bref, comme l’a indiqué Abhishek Arya, responsable de l’équipe de sécurité open source de Google, “l’intention est de créer un format de schéma simple qui contient des métadonnées précises sur les vulnérabilités, les détails nécessaires à la correction du bug et qui constitue une faible charge pour les écosystèmes open source aux ressources limitées.”

L’espoir est qu’avec ce schéma, les développeurs puissent définir un format que toutes les bases de données de vulnérabilités pourront exporter. Ce format unifié permettrait aux programmeurs et aux chercheurs en sécurité de partager facilement des outils et des données sur les vulnérabilités dans tous les projets open source.

La spécification du schéma de vulnérabilité est passée par plusieurs itérations, mais elle n’est pas encore terminée. Google et ses amis invitent les utilisateurs à faire part de leurs commentaires à mesure qu’ils se rapprochent de la version finale. Un certain nombre de bases de données publiques sur les vulnérabilités exploitent déjà ce format, et d’autres sont en préparation :

Le service OSV a également regroupé toutes ces bases de données de vulnérabilités, qui peuvent être consultées sur le site web du projet. Les bases de données peuvent également être interrogées par une seule commande via ses API existantes.

En plus de l’automatisation existante d’OSV, Google a construit d’autres outils d’automatisation pour la maintenance des bases de données de vulnérabilités et a utilisé ces outils pour amorcer la base de données d’avis Python communautaire. Cette automatisation prend les flux existants, les fait correspondre avec précision aux paquets et génère des entrées contenant des plages de versions précises et validées avec une intervention humaine minimale. Google prévoit d’étendre cet outil à d’autres écosystèmes pour lesquels il n’existe pas de base de données de vulnérabilités ou peu de moyens pour la maintenance continue de la base de données.

Cet effort s’inscrit également dans le cadre du récent décret américain sur l’amélioration de la cybersécurité de la nation, qui souligne la nécessité de supprimer les obstacles au partage des informations sur les menaces afin de renforcer les infrastructures nationales. Cette base de données partagée élargie sur les vulnérabilités marque une étape importante vers la création d’un environnement open source plus sûr pour tous les utilisateurs.

Vous voulez vous impliquer ? Vous devriez. Ce projet vise à rendre les logiciels open source, quel que soit le projet, beaucoup plus faciles à sécuriser.

Source : “ZDNet.com”

Leave a Reply

Related Posts

You May Missed

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading