Toplu çekme isteği oluşturma FTW’sini otomatikleştirme
Araştırmacılar, açık kaynak ekosferinde savunmasız bileşenler için güvenlik düzeltmelerini kullanıma sunma becerisini artırma yöntemlerini deniyorlar.
CodeQL (GitHub’ın kod sorgulama dili) gibi araçlar, yüz binlerce açık kaynaklı yazılım projesinde güvenlik açıklarının taranmasını sağlar.
Bu yardımcı programlar, GitHub ve benzeri platformlarda barındırılan projelerde temel güvenlik kusurlarını (göreceli olarak basit düzeltmelere sahip yaygın hatalar) sistematik olarak belirlemek için kullanılabilir.
En son güvenlik araştırması ve analiz haberlerini yakalayın
Bu tür düşük seviyeli hatalar çok sayıdadır ve bulunması ve düzeltilmesi kolaydır, bu nedenle güvenliği artırmak isteyenler için gerçek zorluk, önceliklendirme, raporlama ve düzeltme ile ilgili zorluklardan kaynaklanmaktadır.
Güvenlik araştırmacısı Jonathan Leitschuh, açık kaynaklı bir projenin yürütücülerine kolayca fazladan bir yük getirebilecek hata raporlarının oluşturulmasını otomatikleştirmek yerine, çekme isteklerini ölçekte kısmen otomatikleştirmek için bir metodoloji tanımlamaya ve test etmeye yardımcı oluyor.
İlk olarak BSides Las Vegas’ta ve ardından geçen ay DEF CON’da yapılan yakın tarihli bir dizi görüşmede, Leitschuh toplu çekme talebi oluşturmayı otomatikleştirmek için bir metodoloji ana hatlarıyla açıkladı. Konuşmanın başlığı ‘Güvenlik Araştırmacısını OSS Açıklarını Bir Kez ve Herkes İçin Ortadan Kaldırmak İçin Ölçeklendirmek’ idi.
İNSAN faktörü
HUMAN Security’de Dan Kaminsky Fellow’un ilk üyesi olan Leitschuh, açık kaynaklı yazılımlar için güvenlik düzeltmelerinin geliştirilmesini sanayileştirmek için araçlar ve teknikler oluşturmayı içeren bir araştırma projesi yürüttü.
Bu yaklaşım, yaygın olarak kullanılırsa, birden fazla proje tarafından kullanılan bir bileşenin savunmasız olduğu tespit edilirse, koruma sağlayıcılarına derhal sorunu gideren bir çekme talebi sunulacağı anlamına gelir.
Leitschuh ve meslektaşları, sözde ‘Zip Slip’ güvenlik açığına karşı savunmasız bulunan açık kaynaklı projelere bir dizi çekme isteği yapmak için Python komut dosyalarını kullanmaya başladılar.
Daha yakın zamanlarda, OpenRewrite (Netflix’te oluşturulan ve şimdi Moderne tarafından geliştirilen, stili koruyan bir yeniden düzenleme aracı) kullanmak için bu metodolojiyi geliştirdiler.
ÖNERİLEN ‘Güvenlik ekipleri genellikle geliştiricilerin AppSec’in kontrolünü ele geçirmesine karşı savaşıyor’: Tanya Janca, DevSecOps’u benimseme yolunda
Toplamda, Leitschuh konuşmasında açıklanan tekniği Zip Slip’i (JVM ekosistemindeki bir güvenlik açığı) ve diğer iki güvenlik açığını (kısmi yol geçişi ve geçici dizin ele geçirme) hedefleyen 590 otomatik çekme isteği oluşturmak için kullandı. Bunlar, kariyerindeki toplam çekme talebini 5.200’e getiriyor.
Leitschuh anlattı Günlük Swig proje yürütücülerinden otomatik çekme istekleri almayla ilgili geri bildirimlerin karıştırıldığını söyledi.
“Aldığım geri bildirimler karışık. Çok sayıda minnettar bakıcı ve birkaç bakıcı [were] üzgün, ”diye açıkladı araştırmacı.
“Jenkins ekibi açıkça benden herhangi bir sorun çıkarmamamı istedi. [pull requests] örgütlerine karşı.”
‘İlham verici’ takip araştırması
Otomatik çekme talebi yaklaşımı, yazılım geliştiricilerin kod tabanlarında önerilen değişikliklerin herhangi bir işlevi bozmaktan kaçındığını doğrulamak için görmek istediği birim testlerini atlar. Ek olarak, otomatik yaklaşım, açıklamaların açık bir şekilde yapılması anlamına gelir; bu, hata ödül programlarının tamamında olmasa da bazılarında uygunluk sorunudur.
Bu potansiyel dezavantajlara rağmen, Leitschuh’a göre, güvenlik araştırmacılarından otomatik çekme talebi yaklaşımı hakkındaki geri bildirimler büyük ölçüde olumlu oldu.
Araştırmacı şu sonuca varmıştır: “Diğer güvenlik araştırmacılarından gelen yanıtlar [have been] genel olarak oldukça olumlu. Fikir sunulduğunda değer önerisini görmek çok kolaydır. Birkaç kişiye de bu araştırmayı kendi çalışmaları için üstlenmeleri için ilham verdim.”
ŞUNLAR DA HOŞUNUZA GİDEBİLİR Apache Pulsar’daki güvenlik açığı, ortadaki manipülatör saldırılarına izin verdi