Chiadeira geral: exurrada de CVE's prejudicam trabalho no kernel

Texto do editor e escritor Thorsten Leemhuis, publicado no site heise, discute a recente enxurrada de vulnerabilidades do kernel, as famosas CVE (Common Vulnerabilities and Exposures) e suas implicações para desenvolvedores, distribuidores e usuários.

Pra quem não sabe…

O CVE (Common Vulnerabilities and Exposures) é um banco de dados de vulnerabilidades de segurança em software, mantido pela MITRE Corporation e utilizado por desenvolvedores, administradores de sistemas e pesquisadores de segurança para rastrear e mitigar vulnerabilidades conhecidas.

Quando uma vulnerabilidade é descoberta e relatada, ela é atribuída a um identificador único CVE, que é usado para referenciar a vulnerabilidade em várias fontes, como patches, boletins de segurança e artigos técnicos.

O CVE fornece informações sobre a vulnerabilidade, incluindo sua descrição, severidade, data de publicação e possíveis soluções. Isso permite que os usuários fiquem cientes das falhas e tomem medidas para protegê-los contra ataques.

É uma ferramenta importante para a segurança da informação, pois ajuda a identificar e corrigir vulnerabilidades antes que possam ser exploradas por atacantes.

Voltando ao assunto…

O aumento exponencial de CVEs no kernel Linux é um reflexo da maior conscientização sobre segurança e da intensificação dos esforços para identificar vulnerabilidades. No entanto, essa situação sobrecarrega os desenvolvedores e administradores, dificultando a priorização das correções e a aplicação de patches para as ameaças mais críticas.

Mas o problema é bem complexo. Primeiro: as diretrizes de alocação do CVE obrigam a atribuir um rótulo CVE a qualquer vulnerabilidade que se corrija. Segundo: como as pessoas usam o Linux de várias maneiras, é muito difícil avaliar se uma correção aparentemente inofensiva é realmente relevante para a segurança do sistema.

Quem busca um kernel mais seguro, se depara com um dilema: atualizar constantemente para a versão mais recente, o que pode ser trabalhoso, ou analisar cada vulnerabilidade individualmente, uma tarefa ainda mais complexa, demorada e inacessível à maioria dos mortais.

Muitos CVEs são um grande problema por demandarem correções difíceis e caras, devido aos regulamentos de certificação (ex: usar o Linux em hospitais) e soluções legais levarão tempo.

Enquanto isso, a solução temporária para mitigar o problema exige uma colaboração mais estreita entre desenvolvedores, empresas e a comunidade em geral, todos definindo critérios mais claros para a atribuição de CVEs, pela criação de ferramentas para auxiliar na avaliação e mitigação de riscos, e pela promoção da colaboração entre os diferentes atores envolvidos.

É fundamental que a comunidade encontre um equilíbrio entre as necessidades de identificar/corrigir vulnerabilidades e não sobrecarregar quem trabalha na correção das mesmas.

maquina
Máquina de Goldberg

Fonte: links no texto

2 curtidas

No mundo imaginário AI serão ensinada a identificar bug e corrigir.

1 curtida