A medida que el modelo de código abierto sigue demostrando su sostenibilidad en la empresa, la comunidad de software aumenta su concienciación sobre la seguridad. Estas preocupaciones se han hecho evidentes en las últimas semanas, ya que los principales grupos de Linux han tomado la delantera en la mejora de la seguridad del código.
Google ha anunciado una nueva iniciativa para concentrarse en los errores de software. El desarrollador de software, que ya es un generoso proveedor de incentivos de parches, ha subido la apuesta, alentando a más investigadores a enviar códigos problemáticos a cambio de dinero en efectivo.
Edgeless Systems ha realizado increíbles contribuciones de código abierto, JFrog ha proporcionado avances que respaldan una mejor base Rust y Facebook ha superado los límites de Meta AI.
Tabla de Contenidos
Google ofrece recompensas por errores por código fuente abierto infectado
Google lanzó el Programa de recompensas por vulnerabilidad de software de código abierto (OSS VRP) a fines del verano para recompensar los errores descubiertos en los proyectos de código abierto de Google, como Golang, Angular y Fuchsia. El programa se une a una campaña de recompensas que Google inició hace unos 12 años.
Con el tiempo, la campaña se expandió para incluir programas enfocados en Chrome, Android y otros. Colectivamente, estos programas han otorgado más de 13,000 presentaciones, totalizando desembolsos de más de $38 millones.
La adición de este nuevo programa aborda compromisos cada vez más comunes en la cadena de suministro.Los ataques dirigidos a las cadenas de suministro de código abierto aumentaron un 650 % el año pasado, incluidos Codecov y Vulnerabilidad log4j Esto muestra el potencial destructivo de una sola vulnerabilidad de código abierto.
El OSS VRP de Google es parte de un compromiso de $10 mil millones para mejorar la ciberseguridad, incluida la protección de las cadenas de suministro de tales ataques por parte de los usuarios de Google y los consumidores de código abierto en todo el mundo.
«La protección del software de código abierto y la cadena de suministro de software más amplia sigue siendo una de las principales preocupaciones de las organizaciones de seguridad de todo el mundo. Al aprovechar el ingenio humano de la comunidad de investigadores, Google demuestra su compromiso de proteger sus proyectos de código abierto.
Dave Gerry, director de operaciones de la empresa de ciberseguridad colaborativa, dijo: «Esto representa un paso importante para que los líderes de OSS se aseguren de entregar componentes de OSS seguros. enjambre.
cómo funciona
Los premios principales se otorgarán a las vulnerabilidades encontradas en los proyectos más sensibles: Bazel, Angular, Golang, Protocol buffers y Fuchsia. Después del lanzamiento inicial, Google planea expandir esta lista.
Los investigadores deben centrarse en los descubrimientos que tienen el mayor impacto en la cadena de suministro. El código objeto incluye vulnerabilidades que conducen a cadenas de suministro comprometidas, problemas de diseño que conducen a vulnerabilidades de productos y otros problemas de seguridad, como credenciales confidenciales o comprometidas, contraseñas débiles o instalaciones inseguras.
Las recompensas oscilan entre $100 y $31 337, según la gravedad de la vulnerabilidad y la importancia del proyecto. También se utilizarán cantidades mayores para hazañas inusuales o particularmente interesantes, por lo que se fomenta la creatividad.
Ver reglas de procedimiento para saber más información. Si un envío es más adecuado para otro evento de búsqueda de código, Google lo enviará a un VRP diferente por usted.
también verifique Programa de recompensas de parchesrecompensando las mejoras de seguridad en los proyectos de código abierto de Google, como hasta $ 20,000 para la integración fuzzing en OSS-Fuzz.
«Los proyectos OSS ya tienen la ventaja de estar más centrados en el código, lo que lleva a que se encuentren errores con frecuencia y se solucionen rápidamente. Un programa de recompensas por errores como este incentivará a las personas a realizar una investigación más profunda.
«Idealmente, los programas como este podrían expandirse más allá de los proyectos ‘patrocinados’ con vínculos con las grandes empresas de tecnología para ayudar a otros proyectos OSS importantes pero con fondos insuficientes», dijo el ingeniero técnico senior Mike Parkin. red vulcanaun proveedor de SaaS para la corrección de riesgos cibernéticos empresariales.
El primer código abierto de Kubernetes encriptado en tiempo de ejecución de la industria
Edgeless Systems lanzó el primer Confidential Kubernetes basado en Confidential Computing el 13 de septiembre. Está disponible para todos los usuarios en GitHub.
El proyecto de código abierto Constellation permite que los clústeres de Kubernetes se aíslen de forma verificable de la infraestructura de nube subyacente y se cifren de extremo a extremo. La informática confidencial es una tecnología basada en hardware que protege las cargas de trabajo informáticas de su entorno e incluso cifra los datos durante el procesamiento.
Esta evolución ayuda a cumplir con los enormes requisitos de seguridad a medida que la informática abarca entornos cada vez más diversos. Ayuda a las empresas y los desarrolladores a gestionar los crecientes problemas de seguridad y cumplimiento. Con Constellation de código abierto, más usuarios de Kubernetes pueden proteger todos sus datos en reposo, en tránsito y en uso.
JFrog se une a los esfuerzos de Rust para erradicar las vulnerabilidades de OSS
La comunidad de código abierto es cada vez más popular por mejorar la seguridad del código que se ejecuta en la gran mayoría del software del mundo, incluidos los programas propietarios.
Arrendajo RanaLiquid Software Inc. y los creadores de la plataforma JFrog DevOps anunciaron una nueva iniciativa el 13 de septiembre con Rust Foundation, una organización independiente sin fines de lucro que gobierna el lenguaje de programación Rust. La asociación se centra en identificar y neutralizar las amenazas a la plataforma y el ecosistema de Rust.
anunciar
A partir de hoy, el equipo de investigación de seguridad de JFrog brindará acceso a toda la información sobre vulnerabilidades de software conocidas, investigación de amenazas en curso y recursos para desarrolladores para remediar proactivamente los problemas de la plataforma descubiertos y prevenir el impacto futuro de las vulnerabilidades de seguridad emergentes.
«Asegurar la cadena de suministro de software no se puede lograr con un esfuerzo de una sola vez. Requiere un compromiso continuo y un enfoque de varias capas. Creemos que los lenguajes seguros para la memoria juegan un papel importante en esta iniciativa», dijo Stephen Chin, explica el vicepresidente de relaciones con los desarrolladores de JFrog.
«Al unir fuerzas con Rust Foundation, podemos garantizar que este lenguaje de programación fundamental siga siendo una de las mejores prácticas recomendadas en el desarrollo moderno de software seguro», agregó.
Un estudio de Google muestra que los problemas de seguridad de la memoria representan casi la misma proporción de vulnerabilidades de seguridad designadas como exposiciones de vulnerabilidades críticas (CVE) durante más de una década. El lenguaje de programación Rust, utilizado por 2,2 millones de desarrolladores en los últimos dos años, fue diseñado desde cero para ser seguro para la memoria y eficaz.
Esto significa que el idioma no permite que los usuarios accedan a la memoria a la que no tienen permiso para acceder. Esto, a su vez, reduce en gran medida su capacidad para inyectar sin saberlo código malicioso que podría hacer que el lenguaje sea inseguro.
Como resultado, la Open Source Security Foundation (OpenSSF) identificó a Rust como un «Proyecto crítico de software de código abierto» y cuenta con el respaldo del proyecto Alpha-Omega de OpenSSF para ayudar a identificar vulnerabilidades nuevas y aún no descubiertas para mejorar la seguridad de Rust. postura.
La estabilidad y el rendimiento inherentes de Rust, combinados con las herramientas de seguridad avanzadas, la investigación y la experiencia de JFrog, ayudarán a garantizar la seguridad del lenguaje Rust.
«Creo que esta inversión mantendrá a Rust seguro y sostenible, permitiendo nuevos casos de uso y una adopción más amplia en la industria», dijo Bec Rumbul, director ejecutivo de Rust Foundation.
PyTorch y la iniciativa de aprendizaje profundo
El 12 de septiembre, Meta anunció la formación de la Fundación PyTorch: una nueva era de marco de IA de última generación.
La organización PyTorch previamente existente es ahora la Fundación PyTorch independiente, afiliada a Fundación Linux (baja frecuencia) Paraguas. El proyecto, junto con LF, tiene un comité de gestión diverso compuesto por representantes de AMD, Amazon Web Services, Google Cloud, Meta, Microsoft Azure y Nvidia, diseñado para expandirse con el tiempo.
La Fundación PyTorch actuará como administrador de la tecnología y apoyará a PyTorch a través de conferencias, sesiones de capacitación y otras iniciativas. El objetivo es impulsar la adopción de herramientas de IA mediante el fomento y el mantenimiento de un ecosistema de proyectos de código abierto e independientes del proveedor mediante PyTorch. Democratizará herramientas, bibliotecas y otros componentes de última generación, haciendo que estas innovaciones sean accesibles para todos.
Junto con este acuerdo, LF anunció el mismo día que su comunidad de capacitación y certificación lanzará un nuevo curso, PyTorch y aprendizaje profundo para tomadores de decisiones (LFS116x). Este contenido está dirigido a personas técnicas y no técnicas interesadas en comprender cómo se puede usar el aprendizaje profundo y PyTorch para crear valor empresarial mediante el desarrollo y la implementación de aplicaciones de IA.
Visite la Fundación Linux Detalles de registro.
