یک ابزار جدید رفع‌های امنیتی را در به‌روزرسانی‌های نرم‌افزار منبع باز شناسایی می‌کند

یک ابزار جدید رفع‌های امنیتی را در به‌روزرسانی‌های نرم‌افزار منبع باز شناسایی می‌کند

یک ابزار جدید رفع‌های امنیتی را در به‌روزرسانی‌های نرم‌افزار منبع باز شناسایی می‌کند

63.1 درصد از اخطارهای امنیتی GHSA پیوند وصله خود را بر اساس یک عکس فوری گرفته شده در سال 2022 از دست داده اند. اعتبار: arXiv (2023). DOI: 10.48550/arxiv.2311.01532

محققان ابزار جدیدی را نشان داده‌اند که به‌روزرسانی‌های نرم‌افزار منبع باز را تجزیه و تحلیل می‌کند تا مشخص کند کدام بخش از کد برای رفع آسیب‌پذیری‌های تازه شناسایی شده اصلاح می‌شود. ابزاری که VFCFinder نام دارد، قرار است شناسایی به‌روزرسانی‌های امنیتی لازم را برای برنامه‌نویسان سریع‌تر و آسان‌تر کند تا از آسیب‌پذیری‌ها بدون نیاز به ایجاد تغییرات غیرضروری جلوگیری کنند.

ویلیام انک، یکی از نویسندگان مقاله در مورد این کار و استاد علوم کامپیوتر در دانشگاه ایالتی کارولینای شمالی، می‌گوید: «به‌روزرسانی‌های کدهای رایانه‌ای منبع باز اغلب شامل تغییراتی هستند که برای رفع آسیب‌پذیری‌های امنیتی طراحی شده‌اند». اما بسیاری از برنامه‌هایی که از کد منبع باز استفاده می‌کنند تحت تأثیر آسیب‌پذیری خاصی قرار نمی‌گیرند – و پذیرش به‌روزرسانی‌های غیرضروری می‌تواند چالش‌های برنامه‌نویسی خاص خود را ایجاد کند.

نرم افزار منبع باز نرم افزاری است که تحت مجوز منتشر شده است که به کاربران امکان مطالعه و اصلاح کد نرم افزار را می دهد. در طیف گسترده ای از برنامه های کاربردی توسط کاربران مختلف از افراد گرفته تا شرکت های بزرگ استفاده می شود.

فرآیندهای موجود برای اطلاع رسانی عمومی در مورد آسیب‌پذیری‌ها در نرم‌افزار متن‌باز به کاربران اجازه می‌دهد تا بدانند که آسیب‌پذیری وجود دارد و کاربران باید نسخه به‌روز شده نرم‌افزار را که آسیب‌پذیری را برطرف می‌کند، اتخاذ کنند. با این حال، در برنامه نویسی مدرن، بسیاری از توسعه دهندگان برنامه های جدیدی را بر اساس کتابخانه ای از قطعات کد ایجاد می کنند که هر کدام عملکرد خاصی را انجام می دهند. اگر یکی از کدهایی که به آن تکیه می کنید باید به روز شود، می تواند برای برنامه بزرگتر مشکل ایجاد کند.

ترور دانلپ، نویسنده اول مقاله و دکترای دکترا، می گوید: «این موضوع باعث می شود برنامه نویسانی که از کتابخانه های کد منبع باز استفاده می کنند، درک ماهیت هر آسیب پذیری، از جمله بخش های خاصی از کد رایانه ای که مسئول آسیب پذیری هستند، مهم باشد. دانشجو در ایالت کارولینای شمالی “بسته به ماهیت آسیب پذیری، بسیاری از برنامه نویسان ممکن است نیازی به انجام به روز رسانی نداشته باشند. اما اکثر توصیه های امنیتی دقیقاً توضیح نمی دهند که مشکل چیست – فقط این مشکل شناسایی شده است و به روز رسانی آن را برطرف می کند.”

انک می‌گوید: «برای ارائه زمینه‌ای برای چالش در اینجا، روزانه ده‌ها تا صدها هشدار امنیتی اعلام می‌شود و بیش از 29000 هشدار در سال 2023 وجود داشت. هر بار که نرم‌افزار به‌روزرسانی می‌شود، شامل بسیاری از تغییرات نرم‌افزاری مختلف به نام commit می‌شود که تنها برخی از آنها ممکن است مربوط به برنامه‌ای باشد که از آن نرم‌افزار استفاده می‌کند.

Enk می‌گوید: «در حال حاضر، بیشتر برنامه‌نویسان از سرویس‌های تجزیه و تحلیل پیکربندی منبع (SCA) استفاده می‌کنند که از برنامه‌نویسان برای تعیین ماهیت این به‌روزرسانی‌ها و اینکه کدام بخش‌های کد برای رفع آسیب‌پذیری‌ها اصلاح شده‌اند، استفاده می‌کنند. برنامه‌نویسان می‌توانند از این اطلاعات برای تصمیم‌گیری در مورد اجرای یا عدم اجرای به‌روزرسانی‌های مرتبط استفاده کنند. انواع برنامه هایی که احتمالاً به اجرای به روز رسانی نیاز دارند.”

دانلپ می گوید: «VFCFinder برای شناسایی تغییرات خاصی که به احتمال زیاد مسئول رفع یک آسیب پذیری خاص هستند استفاده می شود. “به عبارت دیگر، VFCFinder شناسایی بخش های کد آسیب دیده را برای سرویس های SCA بسیار آسان می کند. این به نوبه خود به برنامه نویسان کمک می کند تا تصمیم بگیرند که آیا کد منبع باز را که در نرم افزار خود استفاده می کنند یا نه.”

برای آزمایش VFCFinder، محققان آن را بر روی هزاران آسیب‌پذیری اجرا کردند که در آن تعهدات مسئول رفع هر آسیب‌پذیری به خوبی تثبیت شده بودند.

دانلپ می‌گوید: «VFCFinder توانست پنج مورد محتمل‌تر را با دقت 96.6 درصد شناسایی کند. این تکنیک در شناسایی دقیق تعهدی که آسیب‌پذیری را برطرف می‌کرد ۸۰ درصد دقیق بود. تکنیک‌های پیشرفته قبلی ۴۴ درصد دقت در شناسایی دقیق تعهد مربوطه داشتند.»

سپس محققان VFCFinder را در برابر چند صد توصیه امنیتی که تعهد مربوطه برای آنها مشخص نشده بود، آزمایش کردند.

دانلپ می‌گوید: «وقتی به این هشدارها نگاه می‌کنید، اعداد تقریباً یکسان بودند. “در واقع، نتایج حتی بهتر بودند، زیرا VFCFinder قادر بود 81٪ موارد تعهد مربوطه را به دقت شناسایی کند. نتایج ما در پایگاه داده مشاوره امنیتی GitHub پذیرفته شد.”

Enck می گوید: «در نهایت، هدف ما کاهش خطرات امنیتی مرتبط با استفاده گسترده از نرم افزار منبع باز است. “ما خوشبین هستیم که VFCFinder می تواند به کارآمدتر کردن خدمات SCA کمک کند و بخش مهمی از زنجیره تامین نرم افزار را تقویت کند.”

VFCFinder یک ابزار متن باز است و می توانید آن را در GitHub پیدا کنید.

این مطالعه در تاریخ منتشر شده است arXiv سرور چاپ پیشرفته

این مقاله در کنفرانس ACM ASIA در مورد امنیت کامپیوتر و ارتباطات که از 1 تا 5 ژوئیه در سنگاپور برگزار می شود، ارائه خواهد شد. این مقاله توسط الیزابت لین، Ph.D. دانشجوی ایالت NC، و برد ریوز، دانشیار علوم کامپیوتر در ایالت NC.

اطلاعات بیشتر:
Trevor Dunlap و همکاران، VFCFinder: جفت کردن یکپارچه مشاوره امنیتی و وصله ها، arXiv (2023). DOI: 10.48550/arxiv.2311.01532

GitHub: github.com/s3c2/vfcfinder

اطلاعات مجله:
arXiv

ارائه شده توسط دانشگاه ایالتی کارولینای شمالی

نقل قول: ابزار جدید رفع‌های امنیتی را در به‌روزرسانی‌های نرم‌افزار منبع باز شناسایی می‌کند (2024، 9 مه) در 10 مه 2024 از https://techxplore.com/news/2024-05-tool-source-software.html بازیابی شده است.

این برگه یا سند یا نوشته تحت پوشش قانون کپی رایت است. علی‌رغم هرگونه معامله منصفانه به منظور مطالعه یا تحقیق خصوصی، هیچ بخشی بدون اجازه کتبی قابل تکثیر نیست. محتوا فقط برای مقاصد اطلاعاتی ارائه شده است.

منبع

بخوان  کوالکام از عرضه نسل بعدی تراشه پوشیدنی اسنپدراگون خبر داد