آسیب‌پذیری‌های کدنویسی، رشد لینوکس، نکات برجسته تابستانی FOSS Friction Cap


در حالی که کارکنان فناوری اطلاعات به کار دلهره آور خود برای محافظت از کاربران شبکه در برابر افراد بد ادامه می دهند، چند ابزار جدید ممکن است به جلوگیری از موج آسیب پذیری هایی که همچنان به پیوند منبع باز و نرم افزارهای اختصاصی ادامه می دهند کمک کند.

ابتدایی و مایکروسافت به توافق جدیدی دست یافتند تا دو پلتفرم ابری خود را با هم بهتر بازی کنند. در همین حال، مایکروسافت از توسعه دهندگان نرم افزار منبع باز عذرخواهی کرد. اما هیچ عذرخواهی برای BitLocker قفل کردن کاربران لینوکس انجام نشد.

بیایید با آخرین اخبار صنعت نرم افزار منبع باز آشنا شویم.

ابزار منبع باز جدید به Devs Spot Exploit ها کمک می کند

شرکت پلت فرم نرم افزار آسیب پذیری تاب آوری در 12 آگوست در دسترس بودن ابزار منبع باز جدید خود MI-X را از مخزن GitHub اعلام کرد. ابزار CLI به محققان و توسعه‌دهندگان کمک می‌کند تا سریعا بدانند که آیا کانتینرها و میزبان‌های آنها تحت تأثیر آسیب‌پذیری خاصی قرار گرفته‌اند تا پنجره حمله را کوتاه کرده و یک طرح اصلاحی مؤثر ایجاد کنند.

«فروشندگان امنیت سایبری، ارائه دهندگان نرم افزار و CISA Yotam Perkal، مدیر تحقیقات آسیب‌پذیری در Rezilion، گفت: در حال انتشار روزانه افشای آسیب‌پذیری‌ها هستند و به صنعت هشدار می‌دهند که همه نرم‌افزارها با اشتباهاتی ساخته شده‌اند که اغلب باید بلافاصله برطرف شوند.

او افزود: «با این هجوم اطلاعات، راه‌اندازی MI-X به کاربران یک مخزن اطلاعات برای تأیید قابلیت بهره‌برداری از آسیب‌پذیری‌های خاص، ایجاد تمرکز و کارایی بیشتر در مورد تلاش‌های اصلاحی ارائه می‌کند.»

پرکال خاطرنشان کرد: “به عنوان یک شرکت کننده فعال در جامعه تحقیقات آسیب پذیری، این نقطه عطف تاثیرگذاری برای توسعه دهندگان و محققان برای همکاری و ایجاد با هم است.”

ابزارهای فعلی نمی توانند بهره برداری را فاکتور بگیرند زیرا سازمان ها با انبوهی از آسیب پذیری های حیاتی و روز صفر دست و پنجه نرم می کنند و در تلاش برای درک اینکه آیا تحت تأثیر این آسیب پذیری قرار می گیرند یا خیر. این یک مسابقه مداوم است تا قبل از اینکه یک بازیگر تهدید به پاسخ برسد، می‌توان به آن پاسخ داد.

برای انجام این تصمیم، سازمان‌ها باید آسیب‌پذیری را در محیط خود شناسایی کنند و مطمئن شوند که آیا این آسیب‌پذیری واقعاً قابل بهره‌برداری است تا یک برنامه کاهش و اصلاح را در اختیار داشته باشند.

اسکنرهای آسیب‌پذیری کنونی برای اسکن بسیار طولانی طول می‌کشند، قابلیت بهره‌برداری را فاکتور نمی‌کنند و اغلب آن را به‌کلی از دست می‌دهند. این همان چیزی است که در مورد آسیب پذیری Log4j رخ داد. به گفته Rezilion، کمبود ابزار به بازیگران تهدید زمان زیادی می دهد تا از یک نقص سوء استفاده کنند و آسیب بزرگی وارد کنند.

معرفی MI-X اولین مورد از یک سری ابتکارات است که Rezilion قصد دارد جامعه ای را پیرامون شناسایی، اولویت بندی و اصلاح آسیب پذیری های نرم افزاری ایجاد کند.

لینوکس در کنار مشکلات امنیتی فزاینده رشد می کند

نظارت بر داده های اخیر بیش از 63 میلیون دستگاه محاسباتی در 65000 سازمان نشان می دهد که سیستم عامل لینوکس در کسب و کارها زنده و فعال است.

تحقیقات جدید از شرکت نرم افزار مدیریت دارایی فناوری اطلاعات لنزروب نشان می دهد که اگرچه لینوکس از محبوبیت گسترده تر ویندوز و macOS برخوردار نیست، بسیاری از دستگاه های شرکتی سیستم عامل لینوکس را اجرا می کنند.

با اسکن داده های بیش از 300000 دستگاه لینوکس در حدود 26000 سازمان، Lansweeper همچنین محبوبیت هر سیستم عامل لینوکس را بسته به مقدار کل دارایی های IT مدیریت شده توسط هر سازمان کشف کرد.

این شرکت یافته‌های خود را در 4 آگوست منتشر کرد و اشاره کرد که حدود 32.8 میلیون نفر در سراسر جهان از لینوکس استفاده می‌کنند که حدود 90 درصد از زیرساخت‌های ابری و تقریباً تمام ابر رایانه‌های جهان کاربران اختصاصی هستند.

تحقیقات Lansweeper نشان داد که CentOS بیشترین استفاده را دارد (25.6%) و پس از Ubuntu (20.8%) و Red Hat (15%) قرار دارند. این شرکت درصدی را برای کاربران توزیع‌های متعدد دیگر سیستم عامل لینوکس که امروزه مورد استفاده قرار می‌گیرند، مشخص نکرده است.

نمودار دستگاه های لینوکس را بر اساس اندازه شرکت نشان می دهد


Lansweeper پیشنهاد کرد که کسب‌وکارها بین استفاده از لینوکس برای افزایش امنیت آن و اجرای پیشگیرانه فرآیندهای امنیتی، قطع ارتباط نشان دهند.

دو آسیب‌پذیری اخیر لینوکس در سال جاری – Dirty Pipe در ماه مارس و Nimbuspwn در آوریل – به‌علاوه داده‌های جدید Lansweeper، نشان می‌دهد که وقتی نوبت به محافظت از آنچه در زیر سقف خودشان است، کسب‌وکارها کور می‌شوند.

Roel Decneut می‌گوید: «این اعتقاد ماست که اکثر دستگاه‌هایی که لینوکس را اجرا می‌کنند، سرورهای مهم تجاری هستند که هدف مورد نظر مجرمان سایبری هستند، و منطق نشان می‌دهد که هر چه شرکت بزرگ‌تر شود، دستگاه‌های لینوکس بیشتری وجود دارد که باید محافظت شوند. ، افسر ارشد استراتژی در Lansweeper.

او توضیح داد: «با نسخه‌ها و راه‌های بسیار زیادی برای نصب لینوکس، تیم‌های فناوری اطلاعات باید با پیچیدگی ردیابی و مدیریت دستگاه‌ها و همچنین تلاش برای محافظت از آنها در برابر حملات سایبری دست و پنجه نرم کنند».

از زمان راه اندازی آن در سال 2004، Lansweeper پلتفرم نرم افزاری را توسعه داده است که انواع دستگاه های IT، نرم افزارهای نصب شده و کاربران فعال را در شبکه اسکن و موجودی می کند. این به سازمان ها اجازه می دهد تا فناوری اطلاعات خود را به صورت متمرکز مدیریت کنند.

BitLocker، Linux Dual Booting با هم کامل نیستند

کاربران ویندوز مایکروسافت که می خواهند توزیع لینوکس را با بوت دوگانه روی یک رایانه نصب کنند، اکنون بین یک سنگ تکنولوژیکی و یک مکان سخت مایکروسافت قرار دارند. آنها می توانند از افزایش استفاده از نرم افزار Windows BitLocker برای بدتر شدن معضل راه اندازی دوگانه لینوکس تشکر کنند.

توسعه دهندگان توزیع های لینوکس با چالش های بیشتری در پشتیبانی از رمزگذاری فول دیسک مایکروسافت در نصب ویندوز 10 و ویندوز 11 مبارزه می کنند. مهندسان Fedora/Red Hat خاطرنشان کردند که این مشکل با مهر و موم کردن کلید رمزگذاری تمام دیسک توسط مایکروسافت با استفاده از سخت‌افزار Trusted Platform Module (TPM) بدتر می‌شود.

نصب کننده Anaconda فدورا به همراه سایر نصب کننده های توزیع لینوکس نمی توانند اندازه حجم های BitLocker را تغییر دهند. راه حل ابتدا تغییر اندازه حجم های BitLocker در ویندوز است تا فضای خالی کافی برای حجم لینوکس روی هارد دیسک ایجاد شود. این جزئیات مفید در دستورالعمل‌های نصب اغلب ضعیف برای لینوکس با بوت دوگانه گنجانده نشده است.

یک مشکل مرتبط فرآیند را پیچیده می کند. کلید رمزگذاری BitLocker محدودیت مهلک دیگری را اعمال می کند.

برای باز کردن مهر و موم، کلید باید با اندازه‌گیری زنجیره بوت در ثبت پیکربندی پیکربندی پلتفرم TPM (PCR) مطابقت داشته باشد. استفاده از تنظیمات پیش‌فرض برای GRUB در زنجیره راه‌اندازی برای راه‌اندازی دوگانه، مقادیر اندازه‌گیری اشتباهی را تولید می‌کند.

کاربرانی که سعی در بوت شدن دوگانه دارند، با توجه به بحث در مورد مشکل در لیست پستی فدورا، هنگام تلاش برای بوت کردن ویندوز 10/11 به صفحه بازیابی BitLocker رها می شوند.

Microsoft, Canonical: A Case of Opposites Attract

کانونیکال و مایکروسافت با هدف مشترک امنیت بهتر زنجیره تامین نرم‌افزار، گره‌های تجاری را محکم کرده‌اند.

این دو شرکت نرم افزاری در 16 آگوست اعلام کردند که دات نت بومی اکنون برای هاست ها و کانتینرهای اوبونتو 22.04 در دسترس است. این همکاری بین دات نت و اوبونتو پشتیبانی درجه یک سازمانی را فراهم می کند.

این پشتیبانی به توسعه دهندگان دات نت اجازه می دهد تا زمان های اجرا ASP.NET و .NET SDK را از Ubuntu 22.04 LTS با یک دستور “apt install” نصب کنند.

جزئیات کامل را ببینید اینجا و این ویدیوی کوتاه را برای به روز رسانی تماشا کنید:

مایکروسافت ممنوعیت فروش اپلیکیشن های منبع باز را معکوس کرد

در آخرین موردی که ممکن است مایکروسافت دهان بازاریابی خود را برای وارد کردن پای سکندری خود باز کند، این شرکت اخیراً با اجرای ممنوعیت فروش نرم افزار منبع باز در فروشگاه برنامه خود، توسعه دهندگان نرم افزار را ناراحت کرده است. مایکروسافت از آن زمان تصمیم خود را تغییر داده است.

مایکروسافت شرایط جدیدی را برای فروشگاه برنامه خود اعلام کرده بود که از 16 جولای اعمال می شود. شرایط جدید بیان می کند که تمام قیمت گذاری ها نمی توانند از منبع باز یا نرم افزارهای دیگری که در غیر این صورت عموماً بدون هیچ هزینه ای در دسترس هستند سود ببرند. بسیاری از توسعه دهندگان نرم افزار و توزیع کنندگان مجدد نرم افزارهای آزاد و منبع باز (FOSS) نسخه های قابل نصب محصولات خود را در فروشگاه مایکروسافت می فروشند.

ردموند معتقد است محدودیت‌های جدیدش مشکل «فهرست‌های گمراه‌کننده» را حل می‌کند. مایکروسافت ادعا کرد مجوزهای FOSS به هر کسی اجازه می‌دهد نسخه‌ای از یک برنامه FOSS نوشته شده توسط دیگران را پست کند.

با این حال، توسعه دهندگان به عقب رانده شدند و خاطرنشان کردند که این مشکل به راحتی حل می شود، همانطور که فروشگاه های معمولی آن را حل می کنند – از طریق نام علائم تجاری. مصرف‌کنندگان می‌توانند منابع اصلی محصولات نرم‌افزاری را از بسته‌بندی‌کننده‌های شخص ثالث با قوانین علامت تجاری که قبلاً وجود دارد، بگویند.

مایکروسافت از آن زمان با حذف ارجاع به محدودیت‌های قیمت‌گذاری منبع باز در خط‌مشی‌های فروشگاه خود موافقت کرده است. این شرکت تصریح کرد که سیاست قبلی برای “کمک به محافظت از مشتریان در برابر لیست محصولات گمراه کننده” در نظر گرفته شده است.

اطلاعات بیشتر در دسترس است سیاست های فروشگاه مایکروسافت سند


منبع: https://www.technewsworld.com/story/coding-vulnerabilities-linux-growth-foss-friction-cap-summer-highlights-176640.html?rss=1