Log4j भेद्यता: इस पर आपका हॉट लेना गलत क्यों है

कमेंट्री: जो लोग Log4j भेद्यता के लिए एक ही कारण की खोज कर रहे हैं – चाहे वह खुला स्रोत सुरक्षित नहीं है, या खुला स्रोत टिकाऊ नहीं है – गलत हो रहा है। यह एक जटिल मुद्दा है।

सुरक्षा-अवधारणा-1.jpg

छवि: आपका / शटरस्टॉक

क्षमा करें यदि मैं Log4j भेद्यता पर आपका “हॉट टेक” नहीं सुनना चाहता। हर तरह से, मुझे दे दो क्या हुआ का विवरण, साथ ही साथ यह कंपनियों को कैसे प्रभावित कर रहा है मेरी तरह। इससे भी बेहतर, मुझे इसके बारे में जानकारी दें मैं अपने सर्वर का परीक्षण कैसे कर सकता हूं यह देखने के लिए कि क्या मैं सुरक्षित हूं।

बस “ओपन सोर्स हो सकता है” जैसी सुर्खियां न बटोरें [an] हैकर्स के लिए खुला दरवाजा,” जैसा फाइनेंशियल टाइम्स ने किया. और शुरू करने के लिए समस्या का उपयोग न करें ढोल पीटना “ओपन सोर्स सस्टेनेबिलिटी” संकट। खुला स्रोत कोई सुरक्षा समस्या नहीं है, और खुला स्रोत स्थिरता एक जटिल मुद्दा है. इसके बजाय, यह पहचानने का समय है, मैट क्लेन, एनवॉय ओपन सोर्स प्रोजेक्ट के संस्थापक और अनुरक्षक के रूप में, कर लिया है, कि “हम केवल बग/आउटेज की वास्तविकता को स्वीकार कर सकते हैं, कम करने, सीखने और सुधारने के लिए सर्वोत्तम प्रयास करें, और अगले एक की प्रतीक्षा करें।”

देखो: पैच प्रबंधन नीति (टेक रिपब्लिक प्रीमियम)

सुरक्षा को एक प्रक्रिया बनाना

मैं जानता हूँ मैं जानता हूँ! यह रोमांचक पढ़ने के लिए नहीं बनाता है। कोई धूम्रपान बंदूक नहीं है। दोष देने के लिए कोई इंटर्न नहीं। यह सिर्फ … सॉफ्टवेयर है। और सॉफ्टवेयर टूट जाता है, छोटी गाड़ी है, आदि।

जैसा क्लेन ने जोर दिया,

मैंने log4j स्थिति पर एक हॉट टेक से परहेज किया है क्योंकि स्पष्ट रूप से मैं टेक हॉट टेक से थक गया हूं। हालांकि, मेरा नॉट हॉट टेक हॉट टेक यह है कि बग होते हैं, उनमें से कुछ बहुत खराब होते हैं, और वे जटिल कारणों के एक सेट के लिए होते हैं। दिन के खलनायक के बारे में शिकायत करना ([open source] धन, स्मृति सुरक्षा, आदि) एक लाल हेरिंग है, और एक कारण पर अधिक ध्यान केंद्रित करने से कोई वास्तविक सुधार नहीं होता है। हम सब इंसान हैं और बाधाओं के पहाड़ से जूझ रहे हैं; यह एक चमत्कार है कि तकनीक 1% काम करती है और साथ ही साथ करती है।”

लेकिन … इस तथ्य के बारे में क्या है कि जाहिर तौर पर उस काम को करने के लिए Log4j अनुरक्षकों को भुगतान नहीं किया जा सकता है? यह सच हो सकता है या नहीं भी हो सकता है, लेकिन यह कुछ हद तक सारहीन भी है, जैसा कि Red Hat के एंड्रयू क्ले शैफर तर्क दिया: “[P]अयिंग [open source] पूरी तरह से प्रतिस्पर्धी सॉफ्टवेयर वेतन का रखरखाव करने वालों का सुरक्षा मुद्दों जैसे log4j को रोकने पर एक नगण्य प्रभाव पड़ेगा।” इसके चेहरे पर यह गलत लगता है, लेकिन विचार करें उसका अनुगमन: “[H]2013 के बाद से बैंकों ने ‘सुरक्षा’ पर कितना पैसा खर्च किया है? [W]पूरे समय ठेस में log4j चल रहा है? [H]अभी आपके बैंक में कितने अनदेखे कारनामे चल रहे हैं?”

उसके पास एक बिंदु है। एक अच्छी पहल।

यहां तक ​​कि पूरी तरह से वित्त पोषित सॉफ्टवेयर में भी बग, सुरक्षा छेद आदि होते हैं। हम पूरी तरह से बेहतर कर सकते हैं, लेकिन कोई भी सॉफ्टवेयर – ओपन सोर्स या मालिकाना – खामियों से सुरक्षित नहीं है। निश्चित रूप से, यह अनुरक्षकों को भुगतान करने के लिए बेहतर महसूस करा सकता है, जबकि वे चिल्लाते हैं “इसे अभी ठीक करें!” लेकिन कुछ हैं (बेका वेलेंटाइन की तरह) जो यह तर्क देंगे कि पैसे के सवाल के लिए सभी खुले स्रोत की स्थिरता को कम करने से अनजाने में इसकी कुछ सबसे बड़ी ताकत खत्म हो जाती है: डेवलपर जोश।

देखो: एनआईएसटी साइबर सुरक्षा ढांचा: पेशेवरों के लिए एक धोखा पत्र (मुफ्त पीडीएफ) (टेक रिपब्लिक)

दरअसल, इस मौके पर रूबी ऑन रेल्स के संस्थापक डेविड हेनेमीयर हैन्सन ने घोषणा की कि “मैं आपको अपने ओपन सोर्स के लिए मुझे भुगतान नहीं करने दूंगा।” क्यों? “ओपन सोर्स, जैसा कि एमआईटी उपहार लाइसेंस के परोपकारी लेंस के माध्यम से देखा गया है, हमें इस अत्यधिक तर्कसंगत लागत-लाभ विश्लेषण बैल से मुक्त करने की शक्ति है — जो हमारे जीवन को कई अन्य तरीकों से खराब कर रहा है।” दूसरे शब्दों में, वह चाहता है कि लोग योगदान दें यदि इससे उन्हें खुशी मिलती है, और वह उस परियोजना के साथ कुछ भी करने के लिए कृतज्ञ महसूस नहीं करना चाहता जो उसे खुशी भी न दे। उनके विचार में धन का परिचय खुला स्रोत को सामान्य बनाता है।

भले ही आप सहमत हों, और शैफर की बात पर वापस आते हैं, हम केवल उन पर पैसे फेंककर Log4j या किसी भी ओपन सोर्स (या मालिकाना) सॉफ़्टवेयर को बग से छुटकारा नहीं दिलाएंगे। यह ओपन सोर्स का जादू नहीं है। नहीं, सुरक्षा खुले स्रोत में एक प्रक्रिया है, ओपन सोर्स लाइसेंस के तहत लाइसेंसिंग कोड से आपको कुछ नहीं मिलता है। मैंने दिसंबर 2020 में ट्वीट किया था: “ऐसा नहीं है कि खुला स्रोत स्वाभाविक रूप से अधिक सुरक्षित है, बल्कि यह कोड सुरक्षित करने के लिए एक स्वाभाविक रूप से बेहतर प्रक्रिया है।”

हर तरह से, आइए सुनिश्चित करें कि ओपन सोर्स योगदानकर्ताओं को भुगतान किया जाता है (या नहीं, डीएचएच और वेलेंटाइन के तर्क का पालन करते हुए), लेकिन आइए हम अपने मूर्खतापूर्ण हॉट टेक का जश्न न मनाएं जो लॉग 4j समस्या को एक चीज़ तक कम करने का प्रयास करते हैं। सुरक्षा जटिल है। सॉफ्टवेयर जटिल है। लेकिन ओपन सोर्स, सॉफ्टवेयर और आसपास की प्रक्रियाओं को पारगम्य, सुलभ बनाकर, सुरक्षा में सुधार करता है (या कर सकता है), इसे नीचा दिखाने के बजाय।

प्रकटीकरण: मैं MongoDB के लिए काम करता हूं, लेकिन यहां व्यक्त विचार मेरे हैं.

यह भी देखें

Leave a Reply

Your email address will not be published.

%d bloggers like this: