董事会成员提供幕后观察非营利组织
这Apache软件基金会(ASF)正在履行其创始任务 - 开发为公众提供良好服务的软件 - 巨大的规模。
由捐赠和公司赞助资助的非营利组织,在Github上排名第四按星级评级,有多少开发人员为其项目添加书签的晴雨表 - 仅由Microsoft,Google和Facebook超越。
ASF成立于1999年,拥有约853名成员和8,200名承诺,可维持350多个受欢迎的免费,免费使用开源无付款的项目。其中包括基金会的就职项目Apache HTTP服务器,该服务器为三分之一的网站beplay体育能用吗全世界。
讲话每日swbeplay2018官网ig,该组织的高级人物瞥见了其内部运作,将其关键优势列为处理安全的过程漏洞。
“严重安全”
提供了整个过程的广泛轮廓,Sheng Wu,三个recently elected董事会成员说:“ ASF拥有其安全小组作为联络人和驾驶员与安全问题记者和项目项目管理委员会(PMC)协调。安全问题应由项目的PMC确定,并明确结果 - 被接受或拒绝。”
返回导演伯特兰德·德拉克雷兹(Bertrand Delacretaz)称呼ASF的“简单处理安全漏洞的标准化过程”,引用Apache吊索作为依从性的典型典范。
“这有助于强调这样一个事实,即对安全是ASF项目的必要性。”
L-R Bertrand Delacretaz,Mark Cox和Sheng Wu
同时,持续监测和对违规的后果给出了牙齿。
Delacretaz解释说:“我们的安全团队跟踪所有漏洞报告,并在其每月向ASF董事会报告中提供了一系列未来的报告。”安全报告最终可以导致董事会将项目转移到我们的“阁楼””。
轻触
基金会安全副总裁马克·J·考克斯(Mark J Cox)强调,清晰度和严谨性不应以敏捷性为代价。
“The ASF in general tries to ‘get out of the way’ of projects as much as possible, so when we do have policies that they must follow, like the security handling policy, it’s good to try to make that as easy and lightweight as possible,” he explains.
Delacretaz也是Apache孵化器Netbeans和OpenWhisk的PMC成员,他补充说:“我认为我们为建立了如此简单且有据可查的过程而感到自豪,包括护栏以确保将其应用。作为不是安全专家的程序员,我对指导表示赞赏。”
重新访问Equifax
Delacretaz说,这些过程与2017 Equifax安全漏洞,尽管下游造成了灾难性的延误。
他说:“ ASF证明了“我们的过程已经起作用,并且在这种情况下的关键脆弱性已经在Apache Struts方面进行了修补和宣布。”
轶事,每日swbeplay2018官网ig对脆弱性研究的覆盖范围表明,开源项目通常在修复脆弱性(或更多)方面比大型脆弱性更快组织拥有大量资源。
Sheng Wu, an ASF co-founder along with Cox, points out that by definition, the foundation’s volunteer-driven model means project maintainers are motivated not by a salary, but to make a project “better, more stable, more powerful, and of course more secure”.
Delacretaz补充说,开源范式的内在透明度会产生有用的激励措施。
他说:“我认为您的工作被公开发挥了关键作用。”“我们的开源活动是一份生活简历 - 我们希望看起来不错,为了睡觉,我们需要为用户提供优质的软件。”
供应链中的“盲目信任”
通过软件的威胁,对质量和安全的承诺正在严格测试供应链攻击,带开源生态系统危险的脆弱依赖性混乱攻击可能会使数百万用户处于危险之中。
伯特兰·德拉克雷兹(Bertrand Delacretaz)担心“盲人信任”通常会投资于包装开发人员。
“I am worried about how little effort people generally put to verify the integrity of binaries that they download for builds, container images, etc,” he explains, adding that it is everyone’s responsibility to alert colleagues and fellow engineers to the risks and ensure that defensive mechanisms are in place.
不要错过Apache Pulsar错误允许在某些配置中接管帐户
吴说,像ASF这样的“强大”社区模型最适合评估项目(至少)上游依赖性状态(直接)。吴说:“正在监视和确保链条的一部分,整个开源供应链都得到了很好的保护。”
Mark Cox也是Red Hat的软件安全工程师,他说,他是创始董事会成员的开源安全基金会(OPENSSF),他也在通过其工作组来解决供应链威胁方面做一些有用的工作。
评分安全问题
ASF是有权将CVE分配给安全漏洞的168个组织之一。
“我们的一般指导原则是将CVE分配给任何实际安全脆弱性,独立于严重性或内部或外部发现的问题。”apache关于如何评估脆弱性风险。
“虽然每次使用名称,可爱的徽标或域名(发现)的漏洞引起很多关注很容易引起很多关注,但品牌问题通常不是您应该关注的问题。”
回应关注最近表达由RedScan,他还认为,仅根据其CVSS得分,分类漏洞是不明智的。
“We generally don’t recommend our projects use scoring systems like CVSS either, as that can create a situation where a user may ignore an issue due to a low score (or indeed have to take actions due to a high score) where that score doesn’t represent how exactly they are using the component and how they configured it.”
背景CNA和CVE-可以允许供应商分配自己的漏洞ID阻碍安全性吗?
ASF最近启动了一个网站,该门户网站促进了Apache beplay体育能用吗Projects与Apache候选人命名管理局(CNA)安全团队之间的互动。
“我们可以使用此门户网站使用其新自动化API立即从CVE项目分配CVE名称,” Cox说,他说管道中的另一个API将自动化文件对项目的承诺自动化github存储库。
该工具截断了从几天甚至几个小时内发布错误的几天甚至几周的发布过程的过程。
现在,项目也有义务创建一个公共列表,这些列表的所有产品版本都受到了CVE的影响。
“在供应链中拥有组件和依赖性库存的挑战的很大一部分是命名和版本的详细信息,因此,拥有受特定CVE影响的机器可读列表可用于工具供应商以及下游项目和最终用户。”
他继续说,需要解决的另一个问题是使用安全扫描工具,这些工具将CVES未固定和过时的Apache软件(无论上下文如何)。
他解释说:“通常情况下,CVE对我们项目对该依赖的使用没有影响。”
“停止这些报告的一种方法是仅在不查看基本问题的情况下重新置于您的所有依赖项,但是对于任何具有依赖层的复杂项目,您都可以轻松地进入无尽依赖性更新的循环。
“我希望在未来几年中,这将成为一个问题和负担,当前关注软件材料(SBOM)。”
Apache方式
Asked why he, like thousands of other open source contributors, is willing to volunteer his time to make the internet a better, safer place without financial reward, Delacretaz says: “I love learning so I think it’s how much I have learned from working with the kind of bright, open, and opinionated people that I am interacting with at the ASF.”
ASF的撰稿人Cox已有25年以上的时间说:“尽管我的参与和时间承诺的性质每年都有变化,但我一直被组织回到ASF,因为组织的任务,价值观和目标是共鸣与我一起。
“这些价值观和Apache方式由Apache社区共享,使其成为一个有趣,有益和具有挑战性的环境。”
吴告诉每日swbeplay2018官网ig:“ ASF提供了世界上最有价值,最广泛使用的开源项目。它总是欢迎新朋友加入并慷慨地提供帮助。”
你也许也喜欢GitHub更改政策以欢迎安全研究人员
