Облачная платформа OpenStack включает в себя много проектов, конфигураций и кода, которые потенциально могут стать привлекательной мишенью для хакеров. На конференции OpenStack Summit в г. Остине (шт. Техас) руководитель проекта OpenStack Security Роберт Кларк детально осветил различные аспекты обеспечения безопасности OpenStack.
Кларка уже знают на OpenStack Summit, поскольку он освещает разработки по линии безопасности на многочисленных конференциях, начиная с OpenStack Summit 2013 в Портленде (шт. Орегон). Основные моменты выступления Кларка в 2016 г. не очень отличались от того, что он говорил на аналогичном мероприятии в Ванкувере в мае 2015 г., хотя он рассказал и о некоторых новых средствах, помогающих усилить безопасность кода.
Работа по проекту OpenStack Security состоит из нескольких базовых элементов. Выпускаются рекомендации по безопасности, описывающие проблемы, для которых уже имеются патчи, а также заметки с указаниями по конфигурированию системы в случае наличия еще не исправленных проблем безопасности. Одна из последних заметок по безопасности OSSN-0064 касается дефекта в сервисе аутентификации OpenStack Keynote, который потенциально позволяет использовать для атаки пароль администратора по умолчанию.
Чтобы изначально предотвращать внесение в OpenStack небезопасного кода, группа безопасности работает над оказанием помощи разработчикам. Сюда, в частности, относятся инструкции по безопасности, которые, по словам Кларка, помогают разработчикам писать безопасный код.
Также очень важен используемый инструментарий, и проект OpenStack Security реализует в этом направлении ряд инициатив. Наиболее успешным из созданных на сегодняшний день инструментов стал Bandit, движок статического анализа кода Python.
«Это очень быстрый инструмент с хорошими стандартными установками, и сегодня он помогает находить уязвимости и противодействовать их появлению в кодовой базе OpenStack», — говорит Кларк.
Одно из новейших средств, Syntribos, является фаззером кода OpenStack. Фаззер представляет собой разновидность инструментов тестирования безопасности, подсовывающих приложению заведомо некорректный код или данные, чтобы попытаться спровоцировать ошибку, которую потенциально могут использовать злоумышленники. По словам Кларка, в OpenStack надеются, что Syntribos поможет находить неизвестные дефекты безопасности.
Проект OpenStack Security в целом насчитывает 250 зарегистрированных участников, хотя, как сказал Кларк, в каждый момент времени активно работает только около 25 человек, и ему хотелось бы, чтобы активных участников было больше.
«Ряд компаний, в том числе IBM, HPE (Hewlett Packard Enterprise) и Rackspace, вкладывают деньги, чтобы повышать уровень безопасности решений, — сказал он. — Но чтобы достичь удовлетворяющих всех результатов, нужно больше участников и больше серьезной работы».
 |
 |
||||||||||||||||
|
|||||||||||||||||
 |
|||||||||||||||||
      |
|||||||||||||||||
|
|
|
|
|
|
|
||||||||||||||||||
|
Новости ИТ-бизнеса19.04.2024
IDC: ринок смартфонів зростає вже 3-й квартал підряд 19.04.2024 Ворожі хакери почали використовувати новий тип соціальної інженерії для кібератак на ЗСУ 19.04.2024 Дослідження Rakuten Viber: 55% українців негативно реагують на дзвінки з незнайомих номерів 18.04.2024 TikTok оголосив про початок тестування конкурента Instagram 18.04.2024 Україна вперше візьме участь у навчаннях з кібероборони NATO Другие новости Современные решения |
|
|
|
ФорумНаступило время экспериментов (Noname, 08.04.2016 09:45:00)
Укртелеком в 4 раза снижает стоимость звонков на мобильные (СЕргей, 06.04.2016 19:11:59) Укравтодор отмечает дорожные работы и перекрытия на Яндекс.Картах (Noname, 05.04.2016 17:30:44) Яндекс.Карты объявляют конкурс для киевлян (Хтось, 17.02.2016 12:24:08) Информационная безопасность: в поисках совершенной защиты (Лариса Ершова, 09.11.2015 18:39:47) Другие темы |
|
|
||
| ГлавнаяОб изданииКак нас найтиПодписка на газетуПишите намРеклама | ||
 |
