‘SBOM, gösterge tablosunda yanıp sönen ışıkları yakar; VEX, hangisini kapatacağınızı anlamanıza yardımcı olur’
Güvenlik tavsiyelerinde yeni bir değişiklik, kusurların yalnızca yazılımda değil, aynı zamanda pratik olarak istismar edilebilir olup olmadığını vurgulayarak güvenlik açıklarının triyajını optimize etmeyi vaat ediyor.
ABD hükümeti tarafından geliştirilen, güvenlik açığından yararlanılabilirlik değişimi (VEX), “hem tedarikçilerin hem de kullanıcıların en acil riski oluşturan güvenlik açıklarına odaklanmasını” ve tarafından yayınlanan kullanım örneklerine (PDF) göre hiçbir etkisi olmayan hatalar üzerinde zaman kaybetmekten kaçınmasını sağlar. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Nisan 2022’de.
ÖNERİLEN Yaygın güvenlik açıklarını geniş ölçekte yamalama: proje toplu çekme istekleri vaat ediyor
CISA güvenlik açığı analisti Justin Murphy’nin dediği gibi: Bir yazılım malzeme listesi (SBOM) “gösterge tablosunda yanıp sönen ışıkları yakarsa, VEX hangilerini kapatmanız gerektiğini anlamanıza yardımcı olur”.
İrlanda, Dublin’deki son Linux Güvenlik Zirvesi’nde konuşan Murphy, bu “olumsuz güvenlik tavsiyesinin”, Başkan Biden’ın hükümetin yazılım satın alması için bir ön koşul olması gerektiğine karar verdiği, bir ürünün ‘içeriklerinin’ SBOM’ler tarafından sağlanmasını tamamladığını söyledi.
Vulnerable_code_not_in_execute_path
Ulusal Telekomünikasyon ve Bilgi İdaresi (NTIA) projesinden ortaya çıkan VEX tavsiyeleri, bir ürünün belirli bir hatayla ilgili olarak ‘etkilenmiş’, ‘etkilenmemiş’, ‘sabit’ veya ‘araştırma altında’ olup olmadığını bildirir.
CISA tarafından detaylandırıldığı gibi (PDF), ‘etkilenmedi’ tanımına aşağıdakiler gibi ‘durum gerekçeleri’ eşlik edebilir:
- Component_not_present
- Vulnerable_code_not_present
- Vulnerable_code_cannot_be_controled_by_adversary
- Vulnerable_code_not_in_execute_path
- satır içi_mitigations_already_exist
Murphy, “üçüncü taraf bağımlılığınız olduğu ve kodun savunmasız olduğunu söylediği, ancak derleyici onu kopyaladığı için aslında etkilenmediğiniz” belirli bir senaryo önerdi. Alternatif olarak, bir ürün savunmasız bir kitaplık kullanabilir, ancak savunmasız işlevlerini kullanamaz veya girdi doğrulaması etrafında korumalar içerebilir.
VEX tavsiyeleri, istismar edilebilirlik hakkında bilgi sağlarken, önerilen Murphy, SBOM’ları ve CISA’nın 2021 sonbaharında kullanıma sunduğu Bilinen İstismar Edilen Güvenlik Açığı Kataloğu’nu faydalı bir şekilde genişletiyor.
Makine okunabilirliği
Murphy, CVE’lerin ve dolayısıyla güvenlik tavsiyelerinin yaygınlaşmasının, bilinen güvenlik açıklarıyla mücadeleyi bir “veri yönetimi sorunu” haline getirdiğini söyledi.
Ve sorun, tavsiyelerin çeşitli biçimlerde gelmesi gerçeğiyle karmaşıklaşıyor, bu da yalnızca makine tarafından okunabilirliği değil, aynı zamanda “bazı durumlarda insan tarafından okunabilirliği” de engelliyor.
Bakım görevlisine kusurlar hakkında soru sormak – “bir yanıt bile alacak mısınız?” – ya da kendi zamanınızı alan kendi araştırmanızı yürütmenin pek de üstün alternatifler olmadığını savundu Murphy.
Bu bağlam, CISA’nın birlikte çalışabilirliğe odaklanmasını ve VEX tavsiyelerinin makine tarafından okunabilen OASIS CSAF standardında uygulanabileceği gerçeğini açıklamaya yardımcı olur.
isim karışıklığı
Murphy, SBOM ve VEX verilerini bağlama istekleri, yazılım bileşenleri için evrensel olarak üzerinde anlaşmaya varılmış bir ortak tanımlayıcı sisteminin olmaması nedeniyle karmaşıklaşıyor.
Bu nedenle, güvenlik ekipleri, örneğin ayrı SBOM’lar istemeden aynı bileşen için farklı tanımlayıcılar veya farklı bileşenler için aynı tanımlayıcı kullandığında yığınlarının ifşasını yanlış anlama riskiyle karşı karşıyadır.
Kapsamlı bir bileşen tanımlama sisteminin muhtemelen bu sorunu “takma adlar veya eşdeğerlik ilişkileri yoluyla” ele alması gerektiğini önerdi Murphy, belki de ortak platform numaralandırması (CPE), paket URL’leri (purls), SWID etiketleri, SWHIDS ve GitBOM’un bir kombinasyonunu kullanarak.
KAÇIRMAYIN Microsoft, ‘sınırlı’ saldırılarda Exchange Server’a karşı sıfır gün açıklarını doğruladı