خدمات وب آمازون (AWS) امروز دو پروژه منبع باز جدید را راه اندازی کرده است، حرکتی که تا حدی برای رفع نگرانی ها در مورد امنیت زنجیره تامین نرم افزار طراحی شده است.
شرکت تابعه محاسبات ابری آمازون فاش کرد که یک ابزار فازی جدید به نام SnapChange و یک زبان خط مشی مجوز و SDK به نام Cedar را که اخیراً راه اندازی شده است، ارائه کرده است.
زنجیره تامین
با توجه به سولار ویندز و Log4J که امنیت زنجیره تامین نرمافزار را در چند سال گذشته به آگاهی عمومی رسانده است، تلاشهای هماهنگی برای سرمایهگذاری منابع بیشتر برای محافظت از همه افراد، از دولتها و بیمارستانها گرفته تا شرکتها و فراتر از آن در برابر بازیگران بدی که به دنبال سوء استفاده از نقاط ضعف هستند، صورت گرفته است. نرم افزاری که استفاده می کنند
در ایالات متحده، پرزیدنت بایدن در سال 2021 فرمان اجرایی صادر کرد که در آن اقدامات مختلفی برای مقابله با چنین تهدیدهایی طراحی شده بود، که باعث شد شرکت بزرگ فناوری ابتکارات مختلفی را آغاز کند تا نشان دهد که حداقل کمی فعال هستند. به عنوان مثال، شرکت هایی مانند آمازون، گوگل و مایکروسافت سال گذشته 30 میلیون دلار برای تقویت امنیت نرم افزار منبع باز متعهد شدند.
با این حال، در پی این فرمان اجرایی، مؤسسه ملی استاندارد و فناوری ایالات متحده (NIST) نیز دستورالعملهایی را برای تأیید نرمافزار با اصطلاح «فازی» که به عنوان بخشی از حداقل استانداردهای خود برای آزمایش نرمافزار توصیه میشود، صادر کرد.
Fuzzing یا همان طور که به آن تست فازی نیز گفته می شود، روشی برای آزمایش مداوم استحکام نرم افزار با پرتاب داده های تصادفی یا نامعتبر در یک برنامه برای مشاهده نحوه پاسخگویی آن است. این می تواند یک راه موثر برای یافتن خودکار عیوب باشد، قبل از اینکه بتوان از آن در طبیعت بهره برداری کرد.
و در مقابل این پس زمینه است که AWS منبع باز SnapChange است.
رفتن به منبع باز
SnapChange امروز در اجلاس منبع باز آمریکای شمالی معرفی شد اولین ثمرات یک تیم داخلی که AWS دوبله می کند پیدا کردن و رفع کردن.
این تیم شامل محققان امنیتی تمام وقت است که وظیفه یافتن و رفع اشکالات در نرم افزار منبع باز حیاتی را دارند و سپس یافته های خود را با نگهدارنده پروژه مربوطه به اشتراک می گذارند. AWS میگوید همچنین میتواند با نگهدارندهها برای ارائه وصلههای کاری کار کند.
SnapChange به عنوان یک ابزار فازی آزمایشی شروع شد، اما اکنون برای همه در دسترس است تا از طریق GitHub استفاده کنند. در حالی که فازرهای سنتی در یافتن باگها در نرمافزار مؤثر هستند، SnapChange تماماً در مورد fuzzing “snapshot” است، که تجسم پیشرفتهتری است که از فناوریهای مجازیسازی مانند شبیهسازها برای اجرای دانهبندی بیشتر روی کدهای سختدسترسی استفاده میکند.
این همچنین بازتاب حرکت های انجام شده توسط رقبای ابری خود از جمله گوگل است، که قبلاً ابزار fuzzing ClusterFuzz خود را منبع باز و به دنبال آن ClusterFuzzLite بود. مایکروسافت همچنین یک پلتفرم فازی به نام OneFuzz را در سال 2020 منبع باز کرد.
در جای دیگر، AWS اخیراً یک زبان خط مشی مجوز جدید به نام Cedar ایجاد کرده است که به تعریف مجوزهای دسترسی در نرم افزار مربوط می شود و به توسعه دهندگان این امکان را می دهد تا خط مشی هایی بنویسند که مجوزها را در سطح ریز مشخص می کند. با Cedar، شرکتها میتوانند دسترسی به منابع خاصی مانند عکسهای داخل یک برنامه اشتراکگذاری عکس یا گرههای خاص در یک خوشه میکروسرویس را کنترل کنند.
از امروز، Cedar SDK با وعده ایجاد شفافیت در توسعه Cedar (“هیچ امنیتی از طریق ابهام وجود ندارد”) در GitHub در دسترس است و همچنین به هر نهاد شخص ثالث اجازه می دهد تا مشارکت خود را انجام دهد.