🌟 Atualização imperdível para quem gosta de estar bem informado!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Todo mundo parece ter anunciado uma câmara de compensação nas últimas semanas. Nós também. O nosso se chama Athena, e o que mais o diferencia é que ele já era real e estava funcionando quando o anunciamos – construído discretamente meses antes, de cabeça baixa, fazendo descobertas e correções de envio, porque os clientes sempre nos pediam para fazer isso. Só anunciamos agora porque todo mundo começou a anunciar o deles, e ficar quieto começou a parecer algo que não era. Os outros chegaram mais alto e, pelo que qualquer pessoa fora dos comunicados de imprensa poderia perceber, ainda não existiam.
Aqui está a parte que nenhum desses anúncios lhe contará: a câmara de compensação é a coisa menos importante a ser construída.
Quando um projeto que mantivemos deliberadamente privado, um comunicado à imprensa de cinco bilhões de dólares e a Casa Branca buscam a mesma palavra em poucas semanas, isso não é uma tendência. As tendências são opcionais. Esta é a forma de um problema que muda para todos ao mesmo tempo. Então deixe-me explicar por que essas coisas estão aparecendo, por que a maioria delas não importa e por que os poucos que o fazem estão correndo silenciosamente para sair do mercado.
Uma câmara de compensação são apenas dados
As câmaras de compensação não são novidade no código aberto. Nós os temos há décadas.
O NVD é uma câmara de compensação. O mesmo acontece com o banco de dados consultivo do GitHub, o OSV e todos os feeds de segurança dos quais você já extraiu. Cada fornecedor com um portal de vulnerabilidade também está executando um, com escopo para seu próprio software. São todos a mesma coisa: um conjunto de dados de vulnerabilidade com uma porta de entrada.
As “câmaras de compensação” anunciadas neste verão não são uma espécie nova, mas reúnem um novo tipo de dados: vulnerabilidades pré-divulgação espalhadas pela longa cauda do código aberto. Alguns em projetos críticos, alguns em projetos pequenos dos quais ninguém ouviu falar; alguns na versão mais recente, alguns em qualquer versão mais antiga que estivesse em execução. É o projeto de pesquisa de segurança menos organizado, mas mais completo, já elaborado. E por causa do modelo de processo Unix, todos eles têm a mesma importância: uma falha na dependência mais obscura é executada exatamente com os mesmos privilégios que o aplicativo que a carregou, de modo que a menor folha da árvore pode entregar todo o processo.
Se a piscina não for nova, a piscina não é a história.
A piscina nunca foi o ponto
Os dados são inertes. Uma descoberta em um banco de dados nunca corrigiu nada. O valor, a parte que sempre foi difícil, é a atuação: transformar essa descoberta em um artefato reconstruído, testado e assinado, portado para a versão que você está realmente executando, armazenado no registro para o qual suas ferramentas já apontam. Não "aqui está um aviso, boa sorte". Uma solução onde você consumirá antes de procurá-la.
Esta é a parte que a Chainguard tem feito há anos, situada a jusante de todas as câmaras de compensação públicas existentes. Nosso sistema de compilação monitora milhares de projetos de código aberto e reage no momento em que um aviso chega: buscar, reconstruir a partir do código-fonte, testar, assinar. A maioria dos CVEs são remediados em aproximadamente dois dias, e a esmagadora maioria nunca toca a mão humana. Mantemos um SLA de um dia para as vulnerabilidades que a CISA afirma serem exploradas ativamente. Já corrigimos bem mais de 100.000 deles. Os dados da câmara sempre serviram de entrada. A fábrica era o produto.
É exatamente por isso que Atenas é a coisa menos importante que construímos. Já tínhamos a fábrica. Uma câmara de compensação é apenas uma nova porta de entrada para ela. Há alguns meses, quando as pessoas que executam os programas do modelo de fronteira nos pediram para começarmos a fazer isso para vulnerabilidades não públicas, foi só isso. Mesma máquina. Tubo novo.
A inundação é um subproduto
Esqueça as câmaras de compensação por um segundo: por que de repente há uma enxurrada de vulnerabilidades privadas no código aberto e por que todos estão escaneando o mesmo código?
A resposta é que ninguém se propôs a isso. É um subproduto.
A melhor maneira de obter um sinal real de um modelo como o Mythos não é apontá-lo para um arquivo e perguntar educadamente. É colocá-lo na frente de um aplicativo em execução - a coisa que está realmente em execução, um depurador conectado, uma sandbox para jogar, a fonte no contexto - e entregar a ele um prompt vago e adversário. "Quebre isso." E isso acontece.
Ele encontra as falhas em seu código original e aquelas que você acabou de corrigir. Você possui esse código. Você não precisa de uma câmara de compensação para se consertar.
Mas quase nada de um aplicativo real é o seu código. A esmagadora maioria é de código aberto, grande parte está desatualizada e o modelo não se importa com a linha entre o que você escreveu e o que importou. Ele se espalha por toda a superfície. A exploração que ele oferece não para na sua fronteira. Ele passa direto por alguma dependência três camadas abaixo da qual você nunca ouviu falar e que ninguém mantém há anos.
Esse artefato – uma exploração ativa de código que não cabe a você consertar – é o que não tem para onde ir. Isso é o que cada uma dessas câmaras de compensação é, na verdade, uma resposta
Aqui está a parte que nenhum desses anúncios lhe contará: a câmara de compensação é a coisa menos importante a ser construída.
Quando um projeto que mantivemos deliberadamente privado, um comunicado à imprensa de cinco bilhões de dólares e a Casa Branca buscam a mesma palavra em poucas semanas, isso não é uma tendência. As tendências são opcionais. Esta é a forma de um problema que muda para todos ao mesmo tempo. Então deixe-me explicar por que essas coisas estão aparecendo, por que a maioria delas não importa e por que os poucos que o fazem estão correndo silenciosamente para sair do mercado.
Uma câmara de compensação são apenas dados
As câmaras de compensação não são novidade no código aberto. Nós os temos há décadas.
O NVD é uma câmara de compensação. O mesmo acontece com o banco de dados consultivo do GitHub, o OSV e todos os feeds de segurança dos quais você já extraiu. Cada fornecedor com um portal de vulnerabilidade também está executando um, com escopo para seu próprio software. São todos a mesma coisa: um conjunto de dados de vulnerabilidade com uma porta de entrada.
As “câmaras de compensação” anunciadas neste verão não são uma espécie nova, mas reúnem um novo tipo de dados: vulnerabilidades pré-divulgação espalhadas pela longa cauda do código aberto. Alguns em projetos críticos, alguns em projetos pequenos dos quais ninguém ouviu falar; alguns na versão mais recente, alguns em qualquer versão mais antiga que estivesse em execução. É o projeto de pesquisa de segurança menos organizado, mas mais completo, já elaborado. E por causa do modelo de processo Unix, todos eles têm a mesma importância: uma falha na dependência mais obscura é executada exatamente com os mesmos privilégios que o aplicativo que a carregou, de modo que a menor folha da árvore pode entregar todo o processo.
Se a piscina não for nova, a piscina não é a história.
A piscina nunca foi o ponto
Os dados são inertes. Uma descoberta em um banco de dados nunca corrigiu nada. O valor, a parte que sempre foi difícil, é a atuação: transformar essa descoberta em um artefato reconstruído, testado e assinado, portado para a versão que você está realmente executando, armazenado no registro para o qual suas ferramentas já apontam. Não "aqui está um aviso, boa sorte". Uma solução onde você consumirá antes de procurá-la.
Esta é a parte que a Chainguard tem feito há anos, situada a jusante de todas as câmaras de compensação públicas existentes. Nosso sistema de compilação monitora milhares de projetos de código aberto e reage no momento em que um aviso chega: buscar, reconstruir a partir do código-fonte, testar, assinar. A maioria dos CVEs são remediados em aproximadamente dois dias, e a esmagadora maioria nunca toca a mão humana. Mantemos um SLA de um dia para as vulnerabilidades que a CISA afirma serem exploradas ativamente. Já corrigimos bem mais de 100.000 deles. Os dados da câmara sempre serviram de entrada. A fábrica era o produto.
É exatamente por isso que Atenas é a coisa menos importante que construímos. Já tínhamos a fábrica. Uma câmara de compensação é apenas uma nova porta de entrada para ela. Há alguns meses, quando as pessoas que executam os programas do modelo de fronteira nos pediram para começarmos a fazer isso para vulnerabilidades não públicas, foi só isso. Mesma máquina. Tubo novo.
A inundação é um subproduto
Esqueça as câmaras de compensação por um segundo: por que de repente há uma enxurrada de vulnerabilidades privadas no código aberto e por que todos estão escaneando o mesmo código?
A resposta é que ninguém se propôs a isso. É um subproduto.
A melhor maneira de obter um sinal real de um modelo como o Mythos não é apontá-lo para um arquivo e perguntar educadamente. É colocá-lo na frente de um aplicativo em execução - a coisa que está realmente em execução, um depurador conectado, uma sandbox para jogar, a fonte no contexto - e entregar a ele um prompt vago e adversário. "Quebre isso." E isso acontece.
Ele encontra as falhas em seu código original e aquelas que você acabou de corrigir. Você possui esse código. Você não precisa de uma câmara de compensação para se consertar.
Mas quase nada de um aplicativo real é o seu código. A esmagadora maioria é de código aberto, grande parte está desatualizada e o modelo não se importa com a linha entre o que você escreveu e o que importou. Ele se espalha por toda a superfície. A exploração que ele oferece não para na sua fronteira. Ele passa direto por alguma dependência três camadas abaixo da qual você nunca ouviu falar e que ninguém mantém há anos.
Esse artefato – uma exploração ativa de código que não cabe a você consertar – é o que não tem para onde ir. Isso é o que cada uma dessas câmaras de compensação é, na verdade, uma resposta
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #verão #das #câmaras #de #compensação
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário