63.1 درصد از اخطارهای امنیتی GHSA پیوند وصله خود را بر اساس یک عکس فوری گرفته شده در سال 2022 از دست داده اند. اعتبار: arXiv (2023). DOI: 10.48550/arxiv.2311.01532
محققان ابزار جدیدی را نشان دادهاند که بهروزرسانیهای نرمافزار منبع باز را تجزیه و تحلیل میکند تا مشخص کند کدام بخش از کد برای رفع آسیبپذیریهای تازه شناسایی شده اصلاح میشود. ابزاری که VFCFinder نام دارد، قرار است شناسایی بهروزرسانیهای امنیتی لازم را برای برنامهنویسان سریعتر و آسانتر کند تا از آسیبپذیریها بدون نیاز به ایجاد تغییرات غیرضروری جلوگیری کنند.
ویلیام انک، یکی از نویسندگان مقاله در مورد این کار و استاد علوم کامپیوتر در دانشگاه ایالتی کارولینای شمالی، میگوید: «بهروزرسانیهای کدهای رایانهای منبع باز اغلب شامل تغییراتی هستند که برای رفع آسیبپذیریهای امنیتی طراحی شدهاند». اما بسیاری از برنامههایی که از کد منبع باز استفاده میکنند تحت تأثیر آسیبپذیری خاصی قرار نمیگیرند – و پذیرش بهروزرسانیهای غیرضروری میتواند چالشهای برنامهنویسی خاص خود را ایجاد کند.
نرم افزار منبع باز نرم افزاری است که تحت مجوز منتشر شده است که به کاربران امکان مطالعه و اصلاح کد نرم افزار را می دهد. در طیف گسترده ای از برنامه های کاربردی توسط کاربران مختلف از افراد گرفته تا شرکت های بزرگ استفاده می شود.
فرآیندهای موجود برای اطلاع رسانی عمومی در مورد آسیبپذیریها در نرمافزار متنباز به کاربران اجازه میدهد تا بدانند که آسیبپذیری وجود دارد و کاربران باید نسخه بهروز شده نرمافزار را که آسیبپذیری را برطرف میکند، اتخاذ کنند. با این حال، در برنامه نویسی مدرن، بسیاری از توسعه دهندگان برنامه های جدیدی را بر اساس کتابخانه ای از قطعات کد ایجاد می کنند که هر کدام عملکرد خاصی را انجام می دهند. اگر یکی از کدهایی که به آن تکیه می کنید باید به روز شود، می تواند برای برنامه بزرگتر مشکل ایجاد کند.
ترور دانلپ، نویسنده اول مقاله و دکترای دکترا، می گوید: «این موضوع باعث می شود برنامه نویسانی که از کتابخانه های کد منبع باز استفاده می کنند، درک ماهیت هر آسیب پذیری، از جمله بخش های خاصی از کد رایانه ای که مسئول آسیب پذیری هستند، مهم باشد. دانشجو در ایالت کارولینای شمالی “بسته به ماهیت آسیب پذیری، بسیاری از برنامه نویسان ممکن است نیازی به انجام به روز رسانی نداشته باشند. اما اکثر توصیه های امنیتی دقیقاً توضیح نمی دهند که مشکل چیست – فقط این مشکل شناسایی شده است و به روز رسانی آن را برطرف می کند.”
انک میگوید: «برای ارائه زمینهای برای چالش در اینجا، روزانه دهها تا صدها هشدار امنیتی اعلام میشود و بیش از 29000 هشدار در سال 2023 وجود داشت. هر بار که نرمافزار بهروزرسانی میشود، شامل بسیاری از تغییرات نرمافزاری مختلف به نام commit میشود که تنها برخی از آنها ممکن است مربوط به برنامهای باشد که از آن نرمافزار استفاده میکند.
Enk میگوید: «در حال حاضر، بیشتر برنامهنویسان از سرویسهای تجزیه و تحلیل پیکربندی منبع (SCA) استفاده میکنند که از برنامهنویسان برای تعیین ماهیت این بهروزرسانیها و اینکه کدام بخشهای کد برای رفع آسیبپذیریها اصلاح شدهاند، استفاده میکنند. برنامهنویسان میتوانند از این اطلاعات برای تصمیمگیری در مورد اجرای یا عدم اجرای بهروزرسانیهای مرتبط استفاده کنند. انواع برنامه هایی که احتمالاً به اجرای به روز رسانی نیاز دارند.”
دانلپ می گوید: «VFCFinder برای شناسایی تغییرات خاصی که به احتمال زیاد مسئول رفع یک آسیب پذیری خاص هستند استفاده می شود. “به عبارت دیگر، VFCFinder شناسایی بخش های کد آسیب دیده را برای سرویس های SCA بسیار آسان می کند. این به نوبه خود به برنامه نویسان کمک می کند تا تصمیم بگیرند که آیا کد منبع باز را که در نرم افزار خود استفاده می کنند یا نه.”
برای آزمایش VFCFinder، محققان آن را بر روی هزاران آسیبپذیری اجرا کردند که در آن تعهدات مسئول رفع هر آسیبپذیری به خوبی تثبیت شده بودند.
دانلپ میگوید: «VFCFinder توانست پنج مورد محتملتر را با دقت 96.6 درصد شناسایی کند. این تکنیک در شناسایی دقیق تعهدی که آسیبپذیری را برطرف میکرد ۸۰ درصد دقیق بود. تکنیکهای پیشرفته قبلی ۴۴ درصد دقت در شناسایی دقیق تعهد مربوطه داشتند.»
سپس محققان VFCFinder را در برابر چند صد توصیه امنیتی که تعهد مربوطه برای آنها مشخص نشده بود، آزمایش کردند.
دانلپ میگوید: «وقتی به این هشدارها نگاه میکنید، اعداد تقریباً یکسان بودند. “در واقع، نتایج حتی بهتر بودند، زیرا VFCFinder قادر بود 81٪ موارد تعهد مربوطه را به دقت شناسایی کند. نتایج ما در پایگاه داده مشاوره امنیتی GitHub پذیرفته شد.”
Enck می گوید: «در نهایت، هدف ما کاهش خطرات امنیتی مرتبط با استفاده گسترده از نرم افزار منبع باز است. “ما خوشبین هستیم که VFCFinder می تواند به کارآمدتر کردن خدمات SCA کمک کند و بخش مهمی از زنجیره تامین نرم افزار را تقویت کند.”
VFCFinder یک ابزار متن باز است و می توانید آن را در GitHub پیدا کنید.
این مطالعه در تاریخ منتشر شده است arXiv سرور چاپ پیشرفته
این مقاله در کنفرانس ACM ASIA در مورد امنیت کامپیوتر و ارتباطات که از 1 تا 5 ژوئیه در سنگاپور برگزار می شود، ارائه خواهد شد. این مقاله توسط الیزابت لین، Ph.D. دانشجوی ایالت NC، و برد ریوز، دانشیار علوم کامپیوتر در ایالت NC.
اطلاعات بیشتر:
Trevor Dunlap و همکاران، VFCFinder: جفت کردن یکپارچه مشاوره امنیتی و وصله ها، arXiv (2023). DOI: 10.48550/arxiv.2311.01532
GitHub: github.com/s3c2/vfcfinder
arXiv
ارائه شده توسط دانشگاه ایالتی کارولینای شمالی
نقل قول: ابزار جدید رفعهای امنیتی را در بهروزرسانیهای نرمافزار منبع باز شناسایی میکند (2024، 9 مه) در 10 مه 2024 از https://techxplore.com/news/2024-05-tool-source-software.html بازیابی شده است.
این برگه یا سند یا نوشته تحت پوشش قانون کپی رایت است. علیرغم هرگونه معامله منصفانه به منظور مطالعه یا تحقیق خصوصی، هیچ بخشی بدون اجازه کتبی قابل تکثیر نیست. محتوا فقط برای مقاصد اطلاعاتی ارائه شده است.