Triviális “unforgivable” sérülékenységek felszámolása
Az NCSC 2024-es éves jelentése szerint a digitális ellenállóképesség javításához világszerte szükség van a szoftverkódokban található „alapvető sérülékenységek” javítására. A „Market incentives and the future of technology security” című jelentés hangsúlyozta, hogy foglalkozni kell az évtizedek óta fennálló, rosszul összehangolt ösztönző intézkedésekkel, amelyek a funkciókat és a piacra jutás gyorsaságát helyezték előtérbe a sérülékenységek javításával szemben.
Az NCSC célja az, hogy fokozatosan csökkentsék az éves jelentésében említett sérülékenységek jelenlétét (amelyeket triviális megtalálni, és amelyek újra és újra előfordulnak). Ezek az ún. „unforgivable” sérülékenységek – Steve Christie 2007-es MITRE-dokumentumában szereplő kifejezés – „a biztonságos fejlesztési gyakorlatok szisztematikus figyelmen kívül hagyásának jelzői”. Az NCSC új tanulmánya (A method to assess “forgivable” vs “unforgivable” vulnerabilities) kiterjeszti a MITRE tanulmányában bemutatott gondolatokat, és olyan módszert javasol, amely lehetővé teszi a biztonsági kutatók számára annak értékelését, hogy egy sérülékenység “forgivable” vs “unforgivable” kategóriába tartozik-e. A dokumentumban vázolt módszer számszerűsíti, hogy a sérülékenységek kezeléséhez szükséges enyhítések mennyire könnyen alkalmazhatók.
Az “unforgivable” sérülékenységek olyan biztonsági hibák, amelyeknek nem szabadna létezniük a szoftverekben, mivel az elhárításuk elhanyagolható nehézségűnek tekinthető, mivel: az elhárítás menete teljes mértékben dokumentált, olcsón megvalósítható vagy az elhárítás technikai megvalósítása nem túl bonyolult.
Az NCSS által kiadott dokumentum másik célja, hogy párbeszédet generáljon a gyártókkal, és felhívja őket, hogy dolgozzanak a sérülékenységek felszámolásán, és tegyék könnyebben megvalósíthatóvá a dokumentumban tárgyalt legfelső szintű mitigációkat. A MITRE 2007-es eredeti dokumentumában említett 13 “unforgivable” sérülékenység többsége így vagy úgy még mindig létezik. Az NCSC szerint ezeknek a megszüntetése leginkább az operációs rendszerek biztonságosabbá tételével, a fejlesztési keretrendszerek javításával, valamint a fejlesztők és a gyártók biztonságos programozási koncepciók elfogadására való ösztönzésével érhető el.
Bár a sebezhetőségeket nehéz elkerülni, sok közülük kiküszöbölhető a megfelelő eszközök és megközelítések alkalmazásával, például a CISA Secure by Design és a Code of Practice for Software Vendors által felvázoltakkal, amely az Egyesült Királyság kormányának a szoftvergyártókra irányuló rendszerszintű beavatkozása, és amelynek célja annak biztosítása, hogy beépítsék a biztonságot a szoftverekbe. A Code of Practice-t még az év folyamán közzé fogják tenni, az NCSC pedig útmutatást fog közzétenni, hogy segítse a szervezeteket a technikai intézkedések implementálásában, amelyek biztosítják, hogy a szervezetek megfeleljenek a kódexnek.
