ابزار fuzzing منبع باز AWS SnapChange و زبان کنترل دسترسی مبتنی بر سیاست Cedar

خدمات وب آمازون (AWS) امروز دو پروژه منبع باز جدید را راه اندازی کرده است، حرکتی که تا حدی برای رفع نگرانی ها در مورد امنیت زنجیره تامین نرم افزار طراحی شده است.

شرکت تابعه محاسبات ابری آمازون فاش کرد که یک ابزار فازی جدید به نام SnapChange و یک زبان خط مشی مجوز و SDK به نام Cedar را که اخیراً راه اندازی شده است، ارائه کرده است.

زنجیره تامین

با توجه به سولار ویندز و Log4J که امنیت زنجیره تامین نرم‌افزار را در چند سال گذشته به آگاهی عمومی رسانده است، تلاش‌های هماهنگی برای سرمایه‌گذاری منابع بیشتر برای محافظت از همه افراد، از دولت‌ها و بیمارستان‌ها گرفته تا شرکت‌ها و فراتر از آن در برابر بازیگران بدی که به دنبال سوء استفاده از نقاط ضعف هستند، صورت گرفته است. نرم افزاری که استفاده می کنند

در ایالات متحده، پرزیدنت بایدن در سال 2021 فرمان اجرایی صادر کرد که در آن اقدامات مختلفی برای مقابله با چنین تهدیدهایی طراحی شده بود، که باعث شد شرکت بزرگ فناوری ابتکارات مختلفی را آغاز کند تا نشان دهد که حداقل کمی فعال هستند. به عنوان مثال، شرکت هایی مانند آمازون، گوگل و مایکروسافت سال گذشته 30 میلیون دلار برای تقویت امنیت نرم افزار منبع باز متعهد شدند.

با این حال، در پی این فرمان اجرایی، مؤسسه ملی استاندارد و فناوری ایالات متحده (NIST) نیز دستورالعمل‌هایی را برای تأیید نرم‌افزار با اصطلاح «فازی» که به عنوان بخشی از حداقل استانداردهای خود برای آزمایش نرم‌افزار توصیه می‌شود، صادر کرد.

Fuzzing یا همان طور که به آن تست فازی نیز گفته می شود، روشی برای آزمایش مداوم استحکام نرم افزار با پرتاب داده های تصادفی یا نامعتبر در یک برنامه برای مشاهده نحوه پاسخگویی آن است. این می تواند یک راه موثر برای یافتن خودکار عیوب باشد، قبل از اینکه بتوان از آن در طبیعت بهره برداری کرد.

و در مقابل این پس زمینه است که AWS منبع باز SnapChange است.

رفتن به منبع باز

SnapChange امروز در اجلاس منبع باز آمریکای شمالی معرفی شد اولین ثمرات یک تیم داخلی که AWS دوبله می کند پیدا کردن و رفع کردن.

این تیم شامل محققان امنیتی تمام وقت است که وظیفه یافتن و رفع اشکالات در نرم افزار منبع باز حیاتی را دارند و سپس یافته های خود را با نگهدارنده پروژه مربوطه به اشتراک می گذارند. AWS می‌گوید همچنین می‌تواند با نگهدارنده‌ها برای ارائه وصله‌های کاری کار کند.

SnapChange به عنوان یک ابزار فازی آزمایشی شروع شد، اما اکنون برای همه در دسترس است تا از طریق GitHub استفاده کنند. در حالی که فازرهای سنتی در یافتن باگ‌ها در نرم‌افزار مؤثر هستند، SnapChange تماماً در مورد fuzzing “snapshot” است، که تجسم پیشرفته‌تری است که از فناوری‌های مجازی‌سازی مانند شبیه‌سازها برای اجرای دانه‌بندی بیشتر روی کدهای سخت‌دسترسی استفاده می‌کند.

این همچنین بازتاب حرکت های انجام شده توسط رقبای ابری خود از جمله گوگل است، که قبلاً ابزار fuzzing ClusterFuzz خود را منبع باز و به دنبال آن ClusterFuzzLite بود. مایکروسافت همچنین یک پلتفرم فازی به نام OneFuzz را در سال 2020 منبع باز کرد.

در جای دیگر، AWS اخیراً یک زبان خط مشی مجوز جدید به نام Cedar ایجاد کرده است که به تعریف مجوزهای دسترسی در نرم افزار مربوط می شود و به توسعه دهندگان این امکان را می دهد تا خط مشی هایی بنویسند که مجوزها را در سطح ریز مشخص می کند. با Cedar، شرکت‌ها می‌توانند دسترسی به منابع خاصی مانند عکس‌های داخل یک برنامه اشتراک‌گذاری عکس یا گره‌های خاص در یک خوشه میکروسرویس را کنترل کنند.

از امروز، Cedar SDK با وعده ایجاد شفافیت در توسعه Cedar (“هیچ امنیتی از طریق ابهام وجود ندارد”) در GitHub در دسترس است و همچنین به هر نهاد شخص ثالث اجازه می دهد تا مشارکت خود را انجام دهد.