Yaxshi saqlangan, obro'li va yangilangan kutubxonalardan foydalaning

Uchinchi tomon kutubxonalarini tanlashda, bu kutubxonalar sizning xavfsizligingizga ta'sir qilishi va ta'sir qilishi mumkinligini tan olish muhimdir. Ishlab chiquvchilar ochiq kodli dasturiy ta'minot uchun oddiy xavfsizlik xavfini qanday baholashni o'qishni xohlashlari mumkin . Ushbu maqola ochiq manbaga xos bo'lsa-da, bir xil printsiplarning ko'pchiligi har qanday dasturiy ta'minot uchun amal qiladi.

Xususan, kriptografik kutubxonalar va autentifikatsiya kutubxonalari kabi sirlar bilan ishlaydigan kutubxonalarni tanlashda ehtiyot bo'lish kerak. Ishlab chiquvchilarga ushbu murakkab usullarni mustaqil ravishda amalga oshirishga urinishdan ko'ra, yon kanalga chidamli dasturlash uchun ushbu mavjud vositalardan foydalanishni tavsiya qilamiz. O'zingizning kriptografik kutubxonalaringizni yozmang - bu odatda professional kriptograflarga topshiriladi, chunki sodda dasturlar (masalan, algoritmlarning darslik ko'rinishlariga asoslanganlar) ko'pincha yon kanal hujumlariga zaifdir. Siz tanlagan kutubxonangiz yon kanal hujumlari uchun himoyalarni o'z ichiga olganligini aniq ko'rsatganligiga ishonch hosil

qiling. Bundan tashqari, har qanday yangi zaifliklarni tuzatish uchun muntazam va yaqinda yangilanadigan kutubxonani tanlash oqilona.

Shuni yodda tutingki, FPGA yoki mikrokontrollerlar kabi resurslar cheklangan qurilmalar uchun mo'ljallangan kutubxonalar o'zboshimchalik bilan ishlaydigan ilovalarni ishga tushiradigan ko'p foydalanuvchili tizimlar uchun zarur bo'lgan himoya turlarini o'z ichiga olmaydi. Agar sizga kichikroq joy kerak bo'lsa, foydalanilmagan algoritmlarni olib tashlash yaxshiroqdir. Masalan, OpenSSL kompilyatsiya vaqtida algoritmlar to'plamini tanlash imkoniyatiga ega.

Tizimning umumiy xavfsizligini himoya qilish uchun dasturiy ta'minot ishlab chiquvchilari o'zlarining dasturiy ta'minot to'plamiga kiritilgan uchinchi tomon kutubxonalarini diqqat bilan tanlashlari va bu kutubxonalarni yangilab turishlari kerak. Zaifliklar hatto eng obro'li kutubxonalarda ham topiladi, shuning uchun yangilanishlar va yumshatishlarni kuzatish dastlabki tanlov kabi muhimdir. Agar qat'iy yozilmagan bo'lsa, dastur ma'lum yon kanal hujumlariga qarshi himoyasiz bo'lishi mumkin. Masalan, taniqli OpenSSL kriptografik kutubxonasi yangi ochilgan yon kanallarni yumshatish uchun vaqti-vaqti bilan tuzatildi. Amalga oshirish orqali qaysi yon kanallarga murojaat qilish kerakligini tushunish ham muhimdir.

Uchinchi tomon kutubxonasini tanlashda e'tiborga olish kerak bo'lgan yana bir omil

• 
  bu API barqarorligi va sotuvchi tomonidan rasman qo'llab-quvvatlanadigan qo'ng'iroqlardan foydalanish. Misol uchun, ko'plab OpenSSL versiyalari orasida faqat OpenSSL v1.1.1 rasmiy ravishda sotuvchi tomonidan qo'llab-quvvatlanadi.
  

Muxtasar qilib aytganda, ma'lum va kelajakdagi yon kanal hujumlaridan himoya qilish uchun dasturiy ta'minot ishlab chiquvchilari obro'li kutubxonalardan foydalanishlari va o'z kodlarida davriy xavfsizlik yangilanishlarini rejalashtirishlari

kerak. Shu maqsadda, sizning dasturiy ta'minotingiz birinchi navbatda xavfsizlik nuqtai nazaridan va funksionallikni buzmasdan uchinchi tomon bog'liqliklarini yangilash qobiliyati bilan yaratilishi mumkin.

Batafsil ichki ma'lumotlarni o'z ichiga olgan yoki xavfsizlikni tekshirishning oraliq bosqichlaridagi nosozliklar haqida juda aniq bo'lgan xato javoblari hujum strategiyalariga yordam berish uchun yon kanal sifatida ishlatilishi mumkin. Oddiy misol sifatida, parollarni tekshirishda noma'lum foydalanuvchi yoki noto'g'ri parolni qaytaradigan tarmoq interfeysi umumiyroq "Login Failed" xatosi o'rniga, zararli aktyorning turli foydalanuvchi nomlari bilan tizimga kirishni qayta-qayta so'rash orqali ro'yxatdan o'tgan foydalanuvchilar to'plamini sanab o'tishga urinishini faollashtirishi mumkin. foydalanuvchi nomi va parol qiymatlaridan foydalangan holda yanada intensiv qidiruvni majburlash o'rniga. Daniel Bleichenbacher o'zining RSA shifrlash standarti PKCS №1 asosidagi protokollarga qarshi tanlangan shifrlangan matn hujumlari maqolasida yanada murakkab misolni ko'rsatdi, bu erda batafsil xato kodlari SSL-ga tanlangan shifrlangan matn hujumlarini boshqarish uchun ishlatiladi.