|
|
| כניסת חברים · רישום · שכחתי סיסמה |
 |
  מערך הסייבר הלאומי: דגשים לאבטחת השימוש בקוד פתוח [טיוטה לעיון הציבור]ע"י דוביקס פורסם: 12/06/2022 - 20:55  מערך הסייבר הלאומי פרסם טיוטה להתייחסות הציבור בנושא ״דגשים לאבטחת השימוש בקוד פתוח״:״השימוש בקוד פתוח (Open Source) בארץ ובעולם הולך וגובר. לנוכח זאת שכיח לראות כי קוד פתוח מגיע כחלק מובנה במוצרי מדף ושירותים אשר מקורם מצד-שלישי, ואף בכלים ומערכות שצוות ה-IT עושה בהם שימוש. כמו כן, שכיח לראות שילוב קוד פתוח במוצר/בשירות אשר ארגונים מפתחים לטובת שימוש פנימי או חיצוני. לצד זאת, היקף האיומים בקוד פתוח הולך וגדל, כאשר ארגונים רבים אינם מודעים למרחב האיומים, והצעדים הנדרשים להתמודדות מולם. המסמך ׳דגשים לאבטחת השימוש בקוד פתוח (Open Source)׳ מציג רשימת דגשים להחלה במסגרת תהליכים ארגוניים דוגמת פיתוח מאובטח ורכש והתקשרויות, אשר אימוץ שלהם יקטין את הסיכון לארגון וללקוחותיו.״ Jetpack, חברה המייצרת כלי אבטחה עבור וורדפרס, גילתה כי 93 תוספים וערכות נושא השייכות לחברת AccessPress כוללים דלת אחורית. ההנחה כי הקוד הוחדר ע"י פריצה אל אתר החברה.בעת התקנת אחד התוספים הנגועים מוזרק קוד המקודד ב-base64 לקוד האתר. ההערכה כי הקוד מפנה לאתרים הכוללים נוזקה והונאה. כמו כן מאפשר לתוקפים למכור גישה לאתרים הנגועים. לבעלי אתרי וורדפרס, מומלץ: בתור מה שנראה כחלק ממחקר, נשלחו פאצ'ים לקרנל מאוניברסיטת מינסוטה אשר הכילו ביודעין בעיות אבטחה. חלקם נכנסו, חלקן טופלו לפני ההכנסה וחלקן נפסלו.לאחר ניסיונות חוזרים לעשות זאת, Greg KH חסם קבלת פאצ'ים מכל הדומיין של האוניברסיטה ואף יידע את הנהלת מחלקת מדעי המחשב וההנדסה של האוניברסיטה. מקורות: הבאג (Dirty COW = Dirty copy-on-write) קיים כבר 9 שנים בקרנל (2.6.22 ומעלה) של לינוקס ומאפשר שינוים/ניצול הרשאות כתיבה-קריאה במכשירים הפועלים על הקרנל(אנדרואיד, רסברי-פאי,ראוטרים ועוד מיני הפצות לינוקס) ... WhatsApp, אפליקציית הצ'אט הפופולארית, מצפינה את כל ההודעות שלכם עם פרוטוקול ההצפנה של חברת Open Whisper Systems, פרוטוקול הצפנה End-to-end בקוד פתוח.כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.הגליון החמישים וחמישה כולל את המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.הגליון החמישים וארבעה כולל את המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.הגליון החמישים ושלושה כולל את המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.הגליון החמישים ושניים כולל את המאמרים הבאים: כבר מספר שעות ששרתי הNS של centos אינם מגיבים כראוי וגלישה לאתר centos.org אינה אפשרית.אין עדיין התחייסות באתר http://planet.centos.org/ אשר עדיין עובד. פקודות ה yum במערכות centos יכשלו במידה והן פונות לmirrorlist של centos.org. כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון החמישים את המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון הארבעים ותשעה את המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון הארבעים ושמונה את המאמרים הבאים: כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.החודש, כולל הגליון הארבעים ושבעה את המאמרים הבאים: |
| מחוברים: 1 חבר, 110 אורחים · סטטיסטיקה | הסכם שימוש · הצהרת פרטיות · שליחת משוב | חזרה למעלה |
|
תוכן האתר תחת רישיון CC BY-SA 4.0 |
עיצוב ופיתוח: Meir |
