विशेषज्ञों का कहना है कि ओपन सोर्स घटकों की सुरक्षा का आकलन करने में रुचि रखने वाले डेवलपर्स के पास प्रचुर मात्रा में विकल्प हैं, लेकिन उन्हें अभी भी अपने अनुप्रयोगों में घटकों का ऑडिट करने के लिए जानकारी का उपयोग करना है।
11 अप्रैल को, Google ने अपनी deps.dev API सेवा की घोषणा की, जिसमें सुरक्षा मेटाडेटा शामिल है, जिसमें गो, जावा, पायथन, जावास्क्रिप्ट और रस्ट के लिए मुख्य ओपन सोर्स रिपॉजिटरी सहित पांच सॉफ्टवेयर इकोसिस्टम में 5 मिलियन से अधिक घटक शामिल हैं। डेटा के माध्यम से पहुँचा जा सकता है के छात्रों कंपनी की deps.dev वेबसाइट और एक डेटासेट जिसे नए API के माध्यम से क्वेरी की जा सकती है।
डेवलपर जानकारी का उपयोग पैकेज चुनने में मदद करने के लिए कर सकते हैं, एकीकृत विकास वातावरण (आईडीई) एक डेवलपर के काम के रूप में सुरक्षा मेट्रिक्स की पेशकश कर सकता है, और एप्लिकेशन-सुरक्षा उपकरण निर्माता उन स्रोतों की सूची में जानकारी जोड़ सकते हैं जिनका उपयोग वे सुरक्षा और रखरखाव पर निर्णय देने के लिए करते हैं। Google की ओपन सोर्स सुरक्षा टीम के उत्पाद प्रबंधक, निकी रिंगलैंड का कहना है कि यह ओपन सोर्स सॉफ़्टवेयर घटकों की संख्या है।
"इसका मतलब यह भी हो सकता है कि तथ्य के बाद रिपोर्टिंग करना ... और शायद कुछ निर्भरता चुनौतियों की खोज करना जिन्हें उन्हें संबोधित करने की आवश्यकता है," वह कहती हैं। "आखिरकार, सुरक्षा या लाइसेंसिंग मुद्दों, स्वचालित और बड़े पैमाने पर कई भाषा पारिस्थितिक तंत्रों में निर्भरताओं के संभावित रूप से बहुत बड़े सेट की जांच करने में सक्षम होना ... एक शक्तिशाली उपकरण है जो हमें आशा है कि पूरे पारिस्थितिकी तंत्र को लाभान्वित करेगा।"
RSI Google deps.dev सेवा की रिलीज़ सॉफ्टवेयर डेवलपर्स, एप्लिकेशन सुरक्षा फर्मों के रूप में आता है, और अमेरिकी सरकार ओपन सोर्स सॉफ्टवेयर इकोसिस्टम की सुरक्षा में सुधार के तरीके खोजने के लिए काम करती है। Java के लिए Log4j लॉगिंग पैकेज में भेद्यता का शोषण - जो होने की उम्मीद है एक "स्थानिक भेद्यता," यूएस डिपार्टमेंट ऑफ होमलैंड सिक्योरिटी के साइबर सेफ्टी रिव्यू बोर्ड (CSRB) के अनुसार - ओपन सोर्स पैकेजों में न केवल कमजोरियों को कम करने के महत्व को रेखांकित करता है, बल्कि कमजोर पैकेजों के उपयोग को भी समाप्त करता है।
ओपन सोर्स प्रोजेक्ट्स को सुरक्षा में सुधार करने और अपनी स्वयं की निर्भरताओं को संप्रेषित करने के लिए कई तरह के प्रयास पहले से ही चल रहे हैं, लेकिन डेवलपर्स को सुरक्षा को प्राथमिकता देनी चाहिए और यह जानने के लिए जानकारी का उपयोग करना चाहिए कि कौन से घटक डाउनलोड करने हैं, ब्रायन फॉक्स, सह-संस्थापक और मुख्य प्रौद्योगिकी कहते हैं सॉफ्टवेयर सुरक्षा फर्म सोनाटाइप के अधिकारी। फर्म ने पाया कि जब एक डेवलपर एक सॉफ्टवेयर घटक का "उपभोग" करता है जिसमें भेद्यता होती है, तो 96% समय ठीक हो जाता है पहले से ही था उपलब्ध है.
"दूसरे शब्दों में, समस्या वास्तव में हमारे ओपन सोर्स प्रोजेक्ट्स के बारे में नहीं है जो अच्छा काम कर रहे हैं। Log4j टीम ने थैंक्सगिविंग सप्ताहांत में एक पैच बदल दिया - दिनों में, ठीक है - शायद ज्यादातर कंपनियों की तुलना में तेजी से एक वाणिज्यिक परियोजना के लिए ऐसा करने में सक्षम होता," वे कहते हैं। "हमें बेहतर काम करने की जरूरत है। खुले स्रोत का उपभोग करने वाले संगठन इन निर्णयों को लेने का भयानक काम कर रहे हैं।"
निर्भरता डेटा का पर्व
Google की deps.dev सेवा ओपन सोर्स घटकों पर जानकारी खोजने के लिए डेवलपर्स के लिए एक और स्रोत जोड़ती है, लेकिन यह केवल एक से बहुत दूर है। सोनाटाइप ने इसे नया रूप दिया ओएसएस सूचकांक 2018 में, 14 अलग-अलग पारिस्थितिक तंत्रों से लाखों सॉफ्टवेयर परियोजनाओं पर सुरक्षा और रखरखाव डेटा तक पहुंच प्रदान करने के लिए सेवा का आधुनिकीकरण, जैसे रूबी के लिए रूबीजम्स पैकेज सिस्टम और लिनक्स के लिए आरपीएम पैकेज मैनेजर, Google द्वारा कवर किए गए पांच के अलावा।
अन्य सेवाएं, जैसे ओपनटेक्स्ट डीब्रिकेड है, परियोजनाओं को टैग करने और लोकप्रियता, योगदानकर्ता गतिविधि और सुरक्षा के उपायों की पेशकश करते हुए, अपने स्वयं के निर्भरता डेटासेट में भी एक दृश्य प्रस्तुत करते हैं।
Google के रिंगलैंड का कहना है कि डेटा को किसी भी डेवलपर को बेहतर निर्णय लेने की अनुमति देनी चाहिए, लेकिन सॉफ्टवेयर प्रोग्रामर के लिए अपने मार्गदर्शन में सुधार के लिए टूल निर्माताओं को डेटा का एक और स्रोत देना चाहिए।
"एपीआई के लिए हमारा इरादा यह है कि यह त्वरित वन-ऑफ़ स्क्रिप्ट्स से जटिल टूलिंग, जैसे संपादक प्लग-इन या सिस्टम इंटीग्रेशन बनाने के लिए किसी भी चीज़ के लिए उपयोग योग्य है," वह कहती हैं। "हम इस डेटा के लिए वास्तविक भूख देखते हैं - IDE से लेकर CI/CD सिस्टम से लेकर ऑडिट डैशबोर्ड तक हर चीज में - और डेवलपर्स, सीआईएसओ, ओपन सोर्स मेंटेनर और अन्य के लिए महत्वपूर्ण सुरक्षा जानकारी लाने के लिए उत्साहित हैं।
एंडोर लैब्स, जो डेवलपर्स को सॉफ्टवेयर निर्भरता डेटा का उपयोग करके बेहतर विकल्प बनाने में मदद करने पर ध्यान केंद्रित करती है, पहले से ही अपने स्रोतों में से एक के रूप में deps.dev का उपयोग करती है, लेकिन इसने अधिक सुव्यवस्थित डेटाबेस एक्सेस की सराहना की। एंडोर लैब्स ऐसे डेटा को व्यापक विश्लेषण के साथ जोड़ती है ताकि झूठी सकारात्मकता को कम किया जा सके, जैसे कि जब कोई एप्लिकेशन ओपन सोर्स लाइब्रेरी का उपयोग करता है, लेकिन उस लाइब्रेरी में कमजोर कार्यों का नहीं।
कंपनी का इरादा अपनी खुद की निर्भरता की जानकारी को और अधिक सुलभ बनाने का भी है DroidGPTएंडोर लैब्स के सीईओ और सह-संस्थापक वरुण बधवार कहते हैं, एक चैटजीपीटी-आधारित सेवा जो संवादात्मक तरीके से जोखिम डेटा को खोजने योग्य बनाती है। लक्ष्य ओपन सोर्स निर्भरताओं को चुनने और प्रबंधित करने के लिए काम की मात्रा को कम करना है क्योंकि गलत लोगों का चयन भविष्य के काम का एक बड़ा सौदा बना सकता है - अन्यथा तकनीकी ऋण के रूप में जाना जाता है।
बधवार कहते हैं, "तकनीकी ऋण आमतौर पर तब बनाया जाता है जब डेवलपर्स को ओपन सोर्स कोड में कमजोरियों को लगातार ठीक करने और कमजोरियों को ठीक करने के लिए कहा जाता है।" "ओएसएस के साथ तकनीकी ऋण को कम करने का तरीका बेहतर निर्भरताओं का चयन करना और जोखिम को प्राथमिकता देना है जो वास्तव में मायने रखता है।"
एसबीओएम + निर्भरता डेटा = बेहतर सॉफ्टवेयर सुरक्षा
निर्भरता डेटा वास्तव में उपयोगी होना शुरू हो जाएगा क्योंकि डेवलपर्स और टूल निर्माता सामग्री के सॉफ़्टवेयर बिल (एसबीओएम) के साथ डेटा का संयोजन शुरू करते हैं जो कि विकास उपकरण द्वारा तेजी से बनाए जा रहे हैं।
सोनाटाइप के फॉक्स का कहना है कि एसबीओएम संगठनों और विकास टीमों को ओपन सोर्स लाइब्रेरी के अपने उपयोग को रोशन करके मदद कर सकते हैं, जैसे कि वे पांच अलग-अलग एन्क्रिप्शन लाइब्रेरी या 12 लॉगर्स का उपयोग कर रहे हैं।
"उनके पास वह सदमे का क्षण है जब उन्हें पता चलता है कि वे एक दर्जन, 15 अलग-अलग घटकों का उपयोग कर रहे हैं जो सभी एक ही काम करते हैं," फॉक्स कहते हैं। एसबीओएम और सुरक्षा डेटा को मिलाकर, "मैं अपने संपूर्ण पोर्टफोलियो को देख सकता हूं और इसके बारे में तर्क करना शुरू कर सकता हूं।"
एंडोर लैब्स के बधवार कहते हैं, इसमें सुरक्षा डेटा जोड़ने से कंपनियों को अपने सॉफ़्टवेयर चयन को सुव्यवस्थित करने के तरीके के बारे में बेहतर विकल्प बनाने की अनुमति मिलती है, और उपकरण - जैसे सार्वजनिक रूप से उपलब्ध सुरक्षा स्कोरकार्ड - या वाणिज्यिक सेवाएं मदद कर सकती हैं।
"चूंकि प्रयास कई टीमों को फैलाना शुरू करता है और इसके लिए बहुत अधिक इंजीनियरिंग प्रयासों की आवश्यकता होती है, और जैसे ही वे झूठे सकारात्मक सुरक्षा अलर्ट पर विकास के प्रयासों को कम करना शुरू करते हैं, कंपनियों को [इन] उपकरणों के साथ बेहतर आरओआई मिलेगा," वे कहते हैं।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/dr-tech/software-dependency-data-delivers-security-to-developers
- :है
- 11
- 2018
- a
- योग्य
- About
- इसके बारे में
- पहुँच
- सुलभ
- अनुसार
- के पार
- गतिविधि
- वास्तव में
- इसके अलावा
- पता
- जोड़ता है
- बाद
- चेतावनियाँ
- सब
- की अनुमति देता है
- पहले ही
- राशि
- विश्लेषण
- और
- की घोषणा
- अन्य
- एपीआई
- भूख
- आवेदन
- अनुप्रयोग सुरक्षा
- अनुप्रयोगों
- अप्रैल
- हैं
- AS
- At
- आडिट
- स्वचालित
- उपलब्ध
- BE
- क्योंकि
- शुरू करना
- जा रहा है
- लाभ
- बेहतर
- बिल
- मंडल
- ब्रायन
- लाना
- निर्माण
- by
- कर सकते हैं
- मुख्य कार्यपालक अधिकारी
- चुनौतियों
- चेक
- प्रमुख
- मुख्य प्रौद्योगिकी अधिकारी
- विकल्प
- चुनें
- सह-संस्थापक
- कोड
- संयोजन
- वाणिज्यिक
- संवाद
- कंपनियों
- कंपनी
- जटिल
- अंग
- घटकों
- निरंतर
- अंशदाता
- संवादी
- सका
- कवर
- शामिल किया गया
- बनाना
- बनाया
- महत्वपूर्ण
- सीएसआरबी
- साइबर
- तिथि
- डाटाबेस
- डेटासेट
- दिन
- सौदा
- ऋण
- निर्णय
- बचाता है
- विभाग
- घर की भूमि सुरक्षा का विभाग
- निर्भरता
- के बावजूद
- देव
- डेवलपर
- डेवलपर्स
- विकास
- विकास के औजार
- विभिन्न
- की खोज
- खोज
- कर
- डाउनलोड
- दर्जन
- पारिस्थितिकी तंत्र
- पारिस्थितिकी प्रणालियों
- संपादक
- प्रयास
- प्रयासों
- नष्ट
- एन्क्रिप्शन
- अभियांत्रिकी
- संपूर्णता
- वातावरण
- ईथर (ईटीएच)
- सब कुछ
- उत्तेजित
- अपेक्षित
- विशेषज्ञों
- शोषण
- व्यापक
- दूर
- और तेज
- खोज
- फर्म
- फर्मों
- फिक्स
- केंद्रित
- के लिए
- से
- कार्यों
- भविष्य
- देना
- Go
- लक्ष्य
- अच्छा
- अच्छा काम
- गूगल
- सरकार
- महान
- मार्गदर्शन
- है
- मदद
- मदद
- मातृभूमि
- होमलैंड सुरक्षा
- आशा
- कैसे
- How To
- एचटीएमएल
- HTTPS
- i
- महत्व
- में सुधार
- in
- अन्य में
- शामिल
- सहित
- तेजी
- करें-
- एकीकृत
- एकीकरण
- का इरादा रखता है
- इरादा
- रुचि
- मुद्दों
- IT
- आईटी इस
- जावा
- जावास्क्रिप्ट
- काम
- जानना
- जानने वाला
- लैब्स
- भाषा
- बड़ा
- पुस्तकालयों
- पुस्तकालय
- लाइसेंसिंग
- पसंद
- लिनक्स
- सूची
- लॉग4जे
- देखिए
- देख
- मुख्य
- रखरखाव
- बनाना
- निर्माताओं
- बनाता है
- निर्माण
- प्रबंधन
- प्रबंधक
- सामग्री
- मैटर्स
- उपायों
- मेटाडाटा
- मेट्रिक्स
- दस लाख
- लाखों
- कम से कम
- कम से कम
- पल
- अधिक
- अधिकांश
- विभिन्न
- आवश्यकता
- नया
- संख्या
- of
- प्रस्ताव
- की पेशकश
- अफ़सर
- on
- ONE
- खुला
- खुला स्रोत
- ओपन सोर्स प्रोजेक्ट्स
- संगठनों
- Oss
- अन्य
- अन्यथा
- अपना
- पैकेज
- संकुल
- जोड़े
- पैच
- शायद
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- लोकप्रियता
- संविभाग
- सकारात्मक
- संभावित
- शक्तिशाली
- प्राथमिकता
- प्राथमिकता
- शायद
- मुसीबत
- एस्ट्रो मॉल
- उत्पादन प्रबंधक
- प्रोग्रामर्स
- परियोजना
- परियोजनाओं
- प्रदान करना
- सार्वजनिक रूप से
- अजगर
- त्वरित
- RE
- वास्तविक
- महसूस करना
- को कम करने
- को कम करने
- रिपोर्टिंग
- की आवश्यकता होती है
- की समीक्षा
- जोखिम
- आरओआई
- जंग
- s
- सुरक्षा
- वही
- कहते हैं
- स्केल
- स्कोरकार्ड
- लिपियों
- Search
- सुरक्षा
- का चयन
- चयन
- सेवा
- सेवाएँ
- सेट
- चाहिए
- सॉफ्टवेयर
- सॉफ्टवेयर डेवलपर्स
- सॉफ्टवेयर सुरक्षा
- कुछ
- स्रोत
- स्रोत कोड
- सूत्रों का कहना है
- विस्तार
- प्रारंभ
- शुरू होता है
- फिर भी
- सुवीही
- बुद्धिसंगत
- ऐसा
- प्रणाली
- सिस्टम
- टीम
- टीमों
- तकनीकी
- टेक्नोलॉजी
- धन्यवाद
- कि
- RSI
- जानकारी
- परियोजनाएं
- सुरक्षा
- लेकिन हाल ही
- इन
- बात
- यहाँ
- पहर
- सेवा मेरे
- साधन
- उपकरण
- बदल गया
- आम तौर पर
- अंत में
- प्रक्रिया में
- us
- अमेरिकी सरकार
- प्रयोग करने योग्य
- उपयोग
- विविधता
- देखें
- कमजोरियों
- भेद्यता
- चपेट में
- मार्ग..
- तरीके
- वेबसाइट
- छुट्टी का दिन
- या
- कौन कौन से
- मर्जी
- साथ में
- शब्द
- काम
- कार्य
- होगा
- गलत
- जेफिरनेट