?CIIはオープンソースソフトウェアをより安全にするための取り組みを行っている

オープンソースのソフトウェアは、一般にプロプライエタリなソフトウェアよりも安全かもしれませんが、具体的には悪いことに失敗する可能性があります。 Heartsed、Freak、Logjamの3つの主要なOpenSSLセキュリティ問題を挙げてみると、その全てが明らかになりました。 Linux Foundationのコアインフラストラクチャ・イニシアチブ(CII)は、オープンソースの自動テスト・プロジェクト、再現性のあるビルド・イニシアチブ、ITを含むITの3つの新しいセキュリティ・プロジェクトに50万​​ドル弱の資金を投入しましたセキュリティ研究者HannoBöckのファジープロジェクト。さらにLinux Foundationは、AMD、IBMで20年以上の経験を持つLinux、システム、クラウドのセキュリティ専門家Emily Ratliffが、CIIをインフラセキュリティのシニアディレクターとして監督することを発表しました。

再現可能なビルド:再現可能なビルドの目標は、誰でもソースコードと同一のバイナリプログラムを少しずつ再現できるようにすることです。これにより、開発者はバイナリがソースコードから実際に来ることを独立して検証することができます。

今日、それは非常に難しいです。通常、コンパイラの出力はバージョンによって異なります。したがって、プログラマーが元のビルド環境を可能な限り再現したとしても、日時やファイルの順序などの些細な違いによって、異なるバイナリが生成される可能性があります。このプロジェクトの目的は、特定のビルド環境を簡単に記録および復元し、コンパイルプロセスを完全に決定論的にすることです。これは、バリエーションを削除または正規化することによって行われます。

Debian開発者のHolger LevsenとJérémyBobbioは、何千ものフリーソフトウェアプロジェクトのビルドプロセスから不要なバリエーションを排除するために、この大きな努力をしています。また、これらの違いの原因を理解し、開発者がバイナリ配布の信頼性を独立して検証できるようにインフラストラクチャを更新するためのツールも作成しています。

ransomware攻撃のコスト:今年は10億ドル、ChromeはHTTP接続を安全ではないとラベル付け開始、Hyperledgerプロジェクトはギャングバスターのように成長している;今、あなたはその道で何かを破壊するUSB​​スティックを買うことができる

ビルドプロセス中に欠陥が導入されないようにすることで、ソフトウェアのセキュリティと制御が大幅に向上します。この作業はすでにDebianで大きな進歩を遂げました。彼らはFedora、Ubuntu、OpenWrtなどのLinuxディストリビューションでツールを利用できるようにしています。

Fuzzingプロジェクト:Fuzzingはソフトウェアテスト技術です。これは、バグを検出するためにセミランダムデータをプログラムに自動的に注入するブラックボックスのソフトウェアテストです。

セキュリティ研究者HannoBöckは、オープンソースのソフトウェアファジープロジェクトを調整するFuzzing Projectの先頭に立っています。 Fuzzing Projectは、GnuPGやOpenSSLのバグなど、よく知られているプログラムで多くの脆弱性を発見しました。プロジェクトの即時の目標は、ファジングツールを改善し文書化することです。

False Positive Free Testing:TrustInSoftのチーフ・サイエンティストおよび共同設立者であるPascal Cuoqは、オープンソースのTISインタープリタを構築するための助成金を受け取る予定です。このプログラムは、Frama Cをベースとした市販のソフトウェア解析ツールであるTIS Analyzerから構築されます。Frama Cは、最初から最後までステートメントでCプログラムステートメントを解釈して動作するデバッガです。テストされたプログラムが未定義の動作を呼び出すことができるかどうかを各ステートメントで検証します。

歴史的に、TISアナライザおよびFrama Cを使用する他のプログラムは、誤検出を引き起こす可能性があります。この新しいプログラムでは、偽陽性のないバグを検出する方法論を開発することを目標としています。したがって、報告されているバグは本当のバグです。

American Fuzzy Lop fuzzerは、TISインタープリタがバグを検出できるOpenSSL用の新しいテストケースを自動的に生成するために使用されます。 TISインタープリタのオープンソース版は、2016年初めにリリースされる予定です。このバージョンはOpenSSLをターゲットにしています。成功した場合、TISインタープリタは他のオープンソースプログラムにも拡張されます。

ミッション:これらの小さくて重要なオープンソースプロジェクトへの資金提供、NCCグループによるセキュリティホールのためのOpenSSLの監査、Cisco、Microsoft、VMware、その他の大手企業は重要なオープンソースプロジェクト

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応

今日の資金調達を発表している各プロジェクトは全く異なりますが、それぞれがグローバルコンピューティングインフラストラクチャとサイバーセキュリティに不可欠です。 Linux Foundationのエグゼクティブディレクター、ジム・ゼムリン(Jim Zemlin)は、次のように述べています。「エミリーの豊富なLinuxと組み合わせることで、今後数カ月の間に重要なインフラストラクチャの脆弱性に対処することができます。セキュリティの経験と標準の関与は、オープンソースセキュリティのためのより包括的なソリューションへのポイントフィックスを超えて、CIIの仕事の主要な資産になるでしょう。

CIIは、主要なオープンソースプロジェクトのセキュリティを強化するために2014年に設立されました。 CIIは、インフラストラクチャの最大規模をサポートする資金不足のオープンソースプロジェクトに優先権を与えて、グラントアプリケーションを受け入れます。運営委員会が四半期ごとに開催され、セキュリティ提案を審査します。助成金申請書を提出するか、詳細な情報を求めるには、CIIサイトにアクセスしてください。

 ストーリー

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン