Come aumentare la sicurezza di una biblioteca quando l'autore non sembra preoccuparsi

4

C'è una libreria open source che è orribilmente insicura. L'autore riconosce che è insicuro. Il titolo della biblioteca dice "Questa è un'implementazione per la piattaforma X della Biblioteca Y". La libreria Y è sicura quindi il titolo che la sua biblioteca è un'implementazione di una libreria sicura Y suggerisce strongmente che la sua implementazione sia anche sicura. Da nessuna parte la sua biblioteca o i suoi readme e documenti parlano di insicurezza.

L'ho educatamente presentato, elencato i problemi e suggerito educatamente di aggiungere un avvertimento al readme. Ha detto che non pensava che qualcuno avrebbe pensato che la sua biblioteca fosse sicura. Ho fatto notare che sostiene che la sua biblioteca è un'implementazione di Y e Y è noto per essere progettato per essere sicuro. Ha risposto che ha visto il mio punto e mi ha suggerito di inviare una richiesta di aggiornamento per aggiornare il readme. L'ho fatto. Questo era 12 mesi fa. Altri lo hanno inventato ma nessun movimento.

Permettetemi di aggiungere anche la sua libreria non è in realtà un'implementazione di Y. È simile ma avrebbe bisogno di mesi di lavoro per superare effettivamente i test di conformità di Y e quindi, oltre ad essere insicuro, sta mentendo anche sull'implementazione di Y.

E se dovessi dire qualcosa che potrebbe incoraggiare il movimento? Il mio intestino (che so è sbagliato) è fondamentalmente dire che è un idiota per ingannare le persone e mettere a rischio le persone e che dovrebbe davvero prendere sul serio la questione. Non è la libreria più popolare, ma secondo almeno un punto di distribuzione è stata scaricata 160 volte questo mese e ci sono alcune librerie dipendenti. Supponendo che sia una media al mese, allora fino a 1920 persone / progetti sono a rischio.

    
posta gman 12.10.2017 - 00:53
fonte

2 risposte

5

L'autore ovviamente non considera più il loro progetto una priorità. Questo non è raro. Ci sono troppi problemi interessanti nel mondo e troppo poco tempo per risolverli tutti, quindi i progetti tendono a essere abbandonati. Ciò include progetti con noti problemi di sicurezza. Tutto quello che puoi fare è rendere le persone consapevoli del fatto che questo software non è sicuro.

  • Segnala le vulnerabilità al Database Vulnerabilità NIST .
  • Il progetto ha un bugtracker pubblico? Quindi dovresti segnalare le vulnerabilità della sicurezza come bug. Le persone che valutano il software open source che considerano l'utilizzo di solito controllano il bugtracker per avere un'idea di quanto sia ben mantenuto. I bug aperti multipli riguardanti i difetti critici di sicurezza di solito sono una grande bandiera rossa.
  • Contatta direttamente i progetti dipendenti che la libreria che stanno utilizzando ha gravi difetti di cui potrebbero non essere a conoscenza.

Quando ti senti altruista, puoi risolvere da solo i problemi. Invia una patch o fai una richiesta di pull quando è su GitHub. Quando l'autore ha completamente perso interesse, potresti suggerire di prenderlo da loro e diventare il manutentore ufficiale. Quando l'autore è completamente non collaborativo, potresti iniziare un fork.

    
risposta data 12.10.2017 - 17:17
fonte
-4

Generalmente, quando il distributore non risponde in modo appropriato, rivelare pubblicamente le vulnerabilità. Puoi postarlo su Exploit-db o qualcosa del genere.

    
risposta data 12.10.2017 - 17:20
fonte

Leggi altre domande sui tag