В то время как ИТ-специалисты продолжают свою сложную работу по защите пользователей сети от злоумышленников, несколько новых инструментов могут помочь остановить поток уязвимостей, которые продолжают связывать открытое и проприетарное программное обеспечение.
Канонический и Microsoft достигли нового соглашения, чтобы две их облачные платформы лучше взаимодействовали друг с другом. Тем временем Microsoft принесла извинения разработчикам программного обеспечения с открытым исходным кодом. Но никаких извинений за то, что BitLocker блокирует пользователей Linux, не последовало.
Давайте узнаем последние новости индустрии программного обеспечения с открытым исходным кодом.
Новый инструмент с открытым исходным кодом помогает разработчикам обнаруживать эксплойты
Фирма по программной платформе уязвимостей Резилион 12 августа объявила о доступности своего нового инструмента с открытым исходным кодом MI-X из репозитория GitHub. Инструмент командной строки помогает исследователям и разработчикам быстро узнать, подвержены ли их контейнеры и хосты конкретной уязвимости, чтобы сократить окно атаки и создать эффективный план исправления.
«Поставщики кибербезопасности, поставщики программного обеспечения и СНГА выпускают ежедневные отчеты об уязвимостях, предупреждая отрасль о том, что все программное обеспечение создано с ошибками, которые необходимо устранять, часто немедленно», — сказал Йотам Перкал, директор по исследованию уязвимостей в Rezilion.
«Благодаря такому притоку информации запуск MI-X предлагает пользователям хранилище информации для проверки возможности эксплуатации конкретных уязвимостей, что позволяет уделять больше внимания и эффективности усилиям по исправлению», — добавил он.
«Как активный участник сообщества исследователей уязвимостей, это важная веха для разработчиков и исследователей, чтобы сотрудничать и строить вместе», — отметил Перкал.
Текущие инструменты не учитывают возможности эксплуатации, поскольку организации сталкиваются с целым рядом критических уязвимостей и уязвимостей нулевого дня и изо всех сил пытаются понять, подвержены ли они этой уязвимости. Это постоянная гонка за поиском ответа до того, как это сделает злоумышленник.
Чтобы сделать это определение, организациям необходимо определить уязвимость в своей среде и убедиться, что эта уязвимость действительно может быть использована, чтобы иметь план смягчения последствий и исправления.
Текущие сканеры уязвимостей сканируют слишком долго, не учитывают возможность использования и часто вообще пропускают ее. Именно это произошло с уязвимостью Log4j. По словам Rezilion, отсутствие инструментов дает злоумышленникам много времени, чтобы воспользоваться уязвимостью и нанести серьезный ущерб.
Внедрение MI-X — первая из серии инициатив, которые Rezilion планирует создать для сообщества по обнаружению, определению приоритетов и устранению уязвимостей программного обеспечения.
Linux процветает, наряду с растущими проблемами безопасности
Недавний мониторинг данных более чем 63 миллионов вычислительных устройств в 65 000 организаций показывает, что ОС Linux жива и здорова в бизнесе.
Новое исследование от компании по разработке программного обеспечения для управления ИТ-активами Лансвипер показывает, что хотя Linux не так популярен, как Windows и macOS, многие корпоративные устройства работают под управлением операционных систем Linux.
Сканируя данные с более чем 300 000 устройств Linux в примерно 26 000 организаций, Lansweeper также выявила популярность каждой операционной системы Linux в зависимости от общего количества ИТ-активов, которыми управляет каждая организация.
Компания опубликовала свои выводы 4 августа, отметив, что около 32,8 миллиона человек используют Linux во всем мире, причем около 90% всей облачной инфраструктуры и почти все суперкомпьютеры в мире являются выделенными пользователями.
Исследование Lansweeper показало, что CentOS является наиболее широко используемой (25,6%), за ней следуют Ubuntu (20,8%) и Red Hat (15%). Компания не раскрыла процентное соотношение пользователей многих других дистрибутивов ОС Linux, используемых сегодня.
Лансуипер предложил предприятиям продемонстрировать несоответствие между использованием Linux для повышения безопасности и упреждающим внедрением процессов безопасности.
Две недавние уязвимости Linux в этом году — Dirty Pipe в марте и Nimbuspwn в апреле — плюс новые данные Lansweeper показывают, что, когда дело доходит до защиты того, что находится под их собственной крышей, предприятия идут вслепую.
«Мы считаем, что большинство устройств, работающих под управлением Linux, являются критически важными для бизнеса серверами, которые являются желаемой целью для киберпреступников, и логика показывает, что чем больше растет компания, тем больше устройств Linux необходимо защищать», — сказал Роэл Декно. , главный стратегический директор Lansweeper.
«С таким количеством версий и способов установки Linux ИТ-специалистам приходится сталкиваться со сложностью отслеживания и управления устройствами, а также пытаться защитить их от кибератак», — пояснил он.
С момента своего запуска в 2004 году Lansweeper разрабатывает программную платформу, которая сканирует и инвентаризирует все типы ИТ-устройств, установленного программного обеспечения и активных пользователей в сети. Это позволяет организациям централизованно управлять своими ИТ.
BitLocker и двойная загрузка Linux не идеальны вместе
Пользователи Microsoft Windows, которые хотят установить дистрибутив Linux для двойной загрузки на одном компьютере, теперь находятся между технологическим камнем и наковальней Microsoft. Они могут поблагодарить более широкое использование программного обеспечения Windows BitLocker за усугубление дилеммы двойной загрузки Linux.
Разработчики дистрибутивов Linux сталкиваются с новыми трудностями при поддержке полнодискового шифрования Microsoft в установках Windows 10 и Windows 11. Инженеры Fedora/Red Hat отметили, что проблема усугубляется тем, что Microsoft запечатывает ключ шифрования всего диска с помощью аппаратного модуля Trusted Platform Module (TPM).
Установщик Fedora Anaconda вместе с другими установщиками дистрибутива Linux не может изменять размер томов BitLocker. Обходной путь — сначала изменить размер томов BitLocker в Windows, чтобы создать достаточно свободного места для тома Linux на жестком диске. Эта полезная деталь не включена в часто неубедительные инструкции по установке для двойной загрузки Linux.
Связанная проблема усложняет процесс. Ключ шифрования BitLocker накладывает еще одно фатальное ограничение.
Для распечатывания ключ должен соответствовать измерению цепочки загрузки в реестре конфигурации платформы TPM (PCR). Использование настроек по умолчанию для GRUB в цепочке загрузки для настроек с двойной загрузкой приводит к неправильным значениям измерений.
Пользователи, пытающиеся выполнить двойную загрузку, затем попадают на экран восстановления BitLocker при попытке загрузить Windows 10/11, согласно обсуждениям проблемы в списке рассылки Fedora.
Microsoft, Canonical: случай притяжения противоположностей
Canonical и Microsoft затянули деловой узел, связывая их общей целью повышения безопасности цепочки поставок программного обеспечения.
16 августа две компании-разработчики программного обеспечения объявили, что нативный .NET теперь доступен для хостов и контейнеров Ubuntu 22.04. Это сотрудничество между .NET и Ubuntu обеспечивает поддержку корпоративного уровня.
Поддержка позволяет разработчикам .NET устанавливать среды выполнения ASP.NET и .NET SDK из Ubuntu 22.04 LTS с помощью одной команды «apt install».
Посмотреть полную информацию здесь и посмотрите это короткое видео для обновления:
Microsoft отменяет запрет на продажу приложений с открытым исходным кодом
Вполне возможно, что это последний случай, когда Microsoft открыла свой маркетинговый рот, чтобы вставить спотыкающуюся ногу. Компания недавно расстроила разработчиков программного обеспечения, введя запрет на продажу программного обеспечения с открытым исходным кодом в своем магазине приложений. С тех пор Microsoft отменила это решение.
Microsoft объявила о новых условиях для своего магазина приложений, которые вступят в силу 16 июля. В новых условиях указано, что все цены не могут быть направлены на получение прибыли от программного обеспечения с открытым исходным кодом или другого программного обеспечения, которое в противном случае обычно доступно бесплатно. Многие разработчики программного обеспечения и распространители бесплатного программного обеспечения с открытым исходным кодом (FOSS) продают устанавливаемые версии своих продуктов в Microsoft Store.
Редмонд утверждал, что новые ограничения решат проблему «вводящих в заблуждение списков». Microsoft заявила, что лицензии FOSS позволяют любому размещать версию программы FOSS, написанную другими.
Однако разработчики возражали, отмечая, что проблема легко решается так же, как ее решают обычные магазины — через названия торговых марок. Потребители могут отличить подлинные источники программных продуктов от сторонних переупаковщиков с уже существующими правилами товарных знаков.
С тех пор Microsoft уступила, удалив ссылки на ограничения ценообразования с открытым исходным кодом в своих политиках магазина. Компания пояснила, что предыдущая политика была направлена на то, чтобы «помочь защитить клиентов от вводящих в заблуждение списков продуктов».
Более подробная информация доступна в Политики магазина Microsoft документ.
