SecureBuild , sebuah perkhidmatan yang mencipta binaan selamat projek sumber terbuka sambil berkongsi hasil dengan penyelenggara, telah menarik perhatian komuniti teknologi - tetapi tidak semestinya atas sebab yang mereka harapkan. Janji mereka untuk perjanjian tahap perkhidmatan (SLA) 6 hari bagi membaiki kelemahan kritikal telah mencetuskan perbincangan hangat mengenai apa yang dianggap sebagai masa respons keselamatan yang sepatutnya dalam landskap ancaman hari ini.
Kontroversi SLA 6 Hari
Komitmen 6 hari syarikat untuk pembaikan CVE kritikal telah menjadi sasaran kritikan hebat. Profesional keselamatan dalam komuniti mempersoalkan sama ada garis masa ini memenuhi piawaian keselamatan moden. Sesetengah organisasi dilaporkan mendesak had 48 jam untuk tampung kelemahan kritikal, menjadikan janji SecureBuild kelihatan perlahan berbanding.
Walau bagaimanapun, realitinya nampaknya lebih kompleks. Walaupun SecureBuild menyasarkan untuk menyampaikan pembaikan lebih cepat daripada 6 hari yang dijanjikan, mereka mengakui bahawa pokok kebergantungan yang mendalam kadangkala boleh merumitkan proses tampung. Syarikat ini mempunyai rancangan bercita-cita tinggi untuk akhirnya mengurangkan masa respons mereka kepada hanya 6 jam, walaupun mereka tidak memberikan garis masa untuk mencapai matlamat ini.
Perbandingan Garis Masa SLA SecureBuild
- CVE Kritikal: SLA 6 hari (sasaran: 6 jam)
- CVE Tinggi/Sederhana/Rendah: SLA 13 hari
- Jangkaan industri: 48 jam untuk kerentanan kritikal
- Piawaian audit: Sering mewajibkan 30 hari untuk kerentanan kritikal
Memikirkan Semula Strategi Respons CVE
Kritikan yang tajam muncul daripada perbincangan komuniti, mencabar keseluruhan pendekatan berlumba untuk membaiki setiap CVE . Pakar keselamatan berhujah bahawa organisasi tidak sepatutnya menjejaki kelemahan dari segi hari, tetapi sebaliknya harus memberi tumpuan kepada tampung sebelum eksploitasi aktif bermula di alam nyata.
Anda perlu mengeluarkan tampung sebelum eksploitasi aktif di alam nyata bermula, itulah satu-satunya metrik yang penting.
Perspektif ini menunjukkan bahawa SecureBuild dan perkhidmatan serupa mungkin menyelesaikan masalah yang salah. Daripada menjanjikan masa respons menyeluruh untuk semua CVE , tumpuan sepatutnya pada mengenal pasti kelemahan mana yang sebenarnya sedang dieksploitasi dan mengutamakannya mengikutnya.
Semakan Realiti Model Perniagaan
Selain perdebatan teknikal, ahli komuniti mempersoalkan premis perniagaan asas. Seorang pemerhati menyatakan bahawa mungkin terdapat pertindihan minimum antara organisasi yang mengasaskan keselamatan mereka pada respons CVE pantas dan mereka yang benar-benar berminat untuk menyokong projek sumber terbuka secara kewangan.
Kepimpinan SecureBuild menolak skeptisisme ini, menunjuk kepada pangkalan pelanggan mereka yang terdiri daripada vendor perisian bebas (ISV) yang mengedarkan perisian komersial kepada persekitaran perusahaan seperti bank dan agensi kerajaan. Mereka mendakwa hampir separuh daripada pelanggan mereka adalah syarikat teras terbuka sendiri, menunjukkan memang terdapat pasaran untuk organisasi yang mementingkan keselamatan yang ingin menyokong kemampanan sumber terbuka.
Model Perkongsian Hasil
- Penyelenggara sumber terbuka: 70% daripada hasil langganan
- SecureBuild : 30% daripada hasil langganan
- Tiada kontrak sokongan diperlukan
- Tiada perubahan kod diperlukan daripada projek
Memandang ke Hadapan
Perbincangan ini mendedahkan ketegangan yang lebih luas dalam industri keselamatan antara pengurusan kelemahan menyeluruh dan respons ancaman yang disasarkan. Walaupun model perkongsian hasil 70-30 SecureBuild dengan penyelenggara sumber terbuka menangani cabaran kemampanan sebenar, pendekatan keselamatan mereka mungkin memerlukan penambahbaikan untuk memenuhi jangkaan industri yang berkembang.
Apabila organisasi semakin menuntut masa respons yang lebih pantas dan keutamaan ancaman yang lebih canggih, perkhidmatan seperti SecureBuild perlu mengimbangi garis masa bercita-cita tinggi mereka dengan realiti praktikal kebergantungan perisian yang kompleks dan sifat sebenar ancaman keselamatan.
Rujukan: Secure, Sustainable Open Source