Ngày 13 tháng 4 năm 2023Ravie LakshmananQuản lý lỗ hổng
Google hôm thứ Năm đã vạch ra một loạt các sáng kiến nhằm cải thiện hệ sinh thái quản lý lỗ hổng và thiết lập các biện pháp minh bạch hơn xung quanh việc khai thác.
Công ty cho biết trong một thông báo: “Mặc dù tai tiếng về các lỗ hổng zero-day thường xuất hiện trên các tiêu đề, nhưng rủi ro vẫn tồn tại ngay cả sau khi chúng được biết đến và khắc phục, đó là câu chuyện có thật”. “Những rủi ro đó bao gồm mọi thứ, từ độ trễ trong việc áp dụng OEM, các điểm khó kiểm tra bản vá, sự cố cập nhật của người dùng cuối, v.v.”
Các mối đe dọa bảo mật cũng bắt nguồn từ các bản vá chưa hoàn chỉnh do các nhà cung cấp áp dụng, với một phần lỗ hổng zero-day được khai thác ngoài thực tế hóa ra là các biến thể của các lỗ hổng đã được vá trước đó.
Việc giảm thiểu những rủi ro như vậy đòi hỏi phải giải quyết nguyên nhân gốc rễ của các lỗ hổng và ưu tiên các phương pháp phát triển phần mềm bảo mật hiện đại để loại bỏ toàn bộ các loại mối đe dọa và chặn các đường tấn công tiềm ẩn.
Xem xét các yếu tố này, Google cho biết họ đang thành lập Hội đồng chính sách hack để “đảm bảo các chính sách và quy định mới hỗ trợ các phương pháp hay nhất để quản lý và tiết lộ lỗ hổng.”
Công ty nhấn mạnh thêm rằng họ cam kết tiết lộ công khai các sự cố khi tìm thấy bằng chứng về việc tích cực khai thác các lỗ hổng trong danh mục sản phẩm của mình.
Cuối cùng, gã khổng lồ công nghệ cho biết họ đang thành lập Quỹ Bảo vệ Pháp lý Nghiên cứu Bảo mật để cung cấp nguồn tài trợ hạt giống cho việc đại diện pháp lý cho các cá nhân tham gia nghiên cứu thiện chí nhằm tìm và báo cáo các lỗ hổng theo cách thúc đẩy an ninh mạng.
Đẩy mạnh bảo mật mới nhất của Google nói lên nhu cầu nhìn xa hơn 0 ngày bằng cách làm cho việc khai thác trở nên khó khăn ngay từ đầu, thúc đẩy việc áp dụng bản vá cho các lỗ hổng đã biết một cách kịp thời, thiết lập các chính sách để giải quyết vòng đời sản phẩm và giúp người dùng biết khi nào sản phẩm được khai thác tích cực.
Nó cũng làm nổi bật tầm quan trọng của việc áp dụng các nguyên tắc bảo mật theo thiết kế trong tất cả các giai đoạn của vòng đời phát triển phần mềm.
Tiết lộ được đưa ra khi Google ra mắt dịch vụ API miễn phí có tên deps.dev API nhằm bảo mật chuỗi cung ứng phần mềm bằng cách cung cấp quyền truy cập vào siêu dữ liệu bảo mật và thông tin phụ thuộc cho hơn 50 triệu phiên bản của năm triệu gói nguồn mở được tìm thấy trên Go, Maven , PyPI, npm và kho lưu trữ Cargo.
Trong một diễn biến liên quan, bộ phận đám mây của Google cũng đã công bố tính khả dụng chung của dịch vụ Phần mềm nguồn mở được đảm bảo (OSS được đảm bảo) cho các hệ sinh thái Java và Python.
