| Автор |
Сообщение |
Maximus ®
Вольный стрелок
Uploader 100+
Стаж: 18 лет 4 мес.
Сообщений: 5566
Ratio: 25.234
Поблагодарили: 13345
100%
|
В долгосрочной перспективе это может привести к накоплению неисправленных уязвимостей.Зафиксированы случаи внедрения разработчиками программного обеспечения (ПО) из недружественных Российской Федерации стран недокументированных возможностей или добавления механизмов блокировки работы ПО. В качестве первоочередной краткосрочной меры по обеспечению информационной безопасности Национальный координационный центр по компьютерным инцидентам (НКЦКИ) ранее рекомендовал отключить автоматическое обновление для иностранного ПО. В долгосрочной перспективе это может привести к накоплению неисправленных уязвимостей. В результате возникнет угроза компрометации данных, нарушения функционирования оборудования или бизнес-процессов. Риски эксплуатации злоумышленниками неисправленных уязвимостей могут быть выше рисков внедрения разработчиками программного обеспечения недокументированных возможностей. В связи с тем, что разработчики программного обеспечения (ПО) из недружественных РФ стран стали встраивать нежелательный контент для пользователей из России, а также повысился риск внедрения недокументированных возможностей (НДВ) или добавления механизмов блокировки работы данного ПО, одна из первых рекомендуемых мер со стороны регуляторов — отключить автоматические обновления. Как следствие, со временем в ПО выявляются новые уязвимости, которые не устраняются путем установки обновления, и возникает риск компрометации. Вероятность, что она произойдет, может быть выше риска внедрения НДВ. Таким образом, служба кибербезопасности (КБ) находится перед выбором: обновлять ПО с риском получить НДВ или принять риск эксплуатации уязвимости. Алгоритм, представленный на схеме в простой форме, должен помочь сотруднику безопасности и подразделению КБ принять решение о необходимости обновления. При работе с алгоритмом необходимо учитывать следующее: - Алгоритм является рекомендацией, применение которой лежит в вашей зоне ответственности.
- Алгоритм не предусматривает граничные случаи, для которых рекомендуемое решение может отличаться. Поэтому применение алгоритма должно в обязательном порядке учитывать контекст организации.
- ПО перед обновлением в продуктивной среде должно быть проверено на корректную работоспособность в тестовой среде или тестовой выборке.
- Если возможно препятствовать эксплуатации уязвимости наложенными средствами защиты, не рекомендуется производить обновление.
- Если специалисты вашей или подрядной организации в состоянии проверить обновление ПО на наличие НДВ, то вам следует принимать решение по результатам собственного анализа, а не данной рекомендации.
- Не рекомендуется применять алгоритм принятия решения для обновления ПО, используемого в АСУ ТП.
- Алгоритм не рассчитан для применения к обновлениям ПО для мобильных ОС.
В бюллетене НКЦКИ представлен алгоритм, призванный упростить процесс принятия решения о необходимости установки обновлений ПО. Скачать бюллетень НКЦКИ в формате PDF. Источник |
|
|
 |
starlion
Стаж: 2 года 9 мес.
Сообщений: 6
Ratio: 1.974
0%
|
shoni13Спасибо. Немного припозднились. Почин у меня был 13 лет назад  |
|
|
|
|
fjbfjb
Стаж: 14 лет 10 мес.
Сообщений: 843
Ratio: 37.384
100%
|
У "нашей" кибербезопасности только глазки открылись? Вроде бы уже в 80-х прошлого столетия широко практиковалось. |
|
|
|
|
ColdFire2000
Стаж: 15 лет 1 мес.
Сообщений: 16
Ratio: 7.302
15.28%
|
И эта писанина на изначально сайте с кучей пиратского ломаного софта и тд? |
|
|
|
|
millman_freedom
Стаж: 10 лет 1 мес.
Сообщений: 72
Ratio: 8.534
Раздал: 3.724 TB
100%
|
Raptor303 писал(а):  | Россия через 10-20 лет: лучшее во всем, страны Запада завидуют достижениям и возможностям РФ  |
Забыл дописать: "Тысяч" перед "лет" |
_________________
Windows 11 Enterprise / Ryzen 9 3900X / RTX 3090Ti
|
|
|
|
VFYNBRJH
Стаж: 9 лет 10 мес.
Сообщений: 135
Ratio: 14.12
66.08%
Откуда: оттуда
|
| wer22 писал(а): | А может стоить отказаться от присутствия своих войск на территории другой суверенной страны... да ну, глупость какая... |
А может стоит подумать прежде чем писать про войска ....да ну, глупость какая...а страна то точно сувереннная?....да ну глупость какая...  |
|
|
|
|
Keysarus
Стаж: 14 лет
Сообщений: 183
Ratio: 9.852
22.72%
|
Взаимная паранойя со всех сторон.
Такой прогрессивный век по части технологий и такая неадекватность в политике. |
|
|
|
|
reefress
Стаж: 14 лет 7 мес.
Сообщений: 181
Ratio: 3.935
Раздал: 17.6 TB
36.65%
Откуда: 404
|
Глупо не замечать или делать вид, что это ни при чём... Всегда есть причина и следствие... |
|
|
|
|
skliff1977
Стаж: 12 лет 2 мес.
Сообщений: 36
Ratio: 8.847
2.4%
|
Нельзя многого создать, даже аналогов.... но можно спи...ть у других: и идею, и ее реализацию. Назвать как-то по другому и вуаля -- импортозамещение. Но мы, уважаемые пользователи торрентов, не почувствуем всего этого "импортозамещения" и будем дальше продолжать потреблять все только самое лучшее, до чего дотянутся наши загребущие ручонки  |
|
|
|
|
manur
Стаж: 15 лет 3 мес.
Сообщений: 112
Ratio: 5.415
0.98%
|
с антивирусными базами как быть? и обновление программных модулей в антиврусниках |
|
|
|
|
smarty_ass
Стаж: 13 лет 7 мес.
Сообщений: 173
Ratio: 26.864
Раздал: 22.61 TB
17.46%
|
А что мешает создать свои репозитории из официальных и посадить группы специально обученных людей, что будут проверять коммиты перед добавлением обновления на отечественные репы? |
|
|
|
|
AfreeManJ
Стаж: 2 года 10 мес.
Сообщений: 562
Ratio: 1.053
100%
|
Надо же. Создан алгоритм для безопасности, и это практически вся новость. И можно сказать на ровном месте, свидомые снова как на майдане. Запрыгали запели. Это писец какой-то. Один не пойми к чему добывающую отрасль припёр, другой импортозамещение. Любую новость открывай и смотри, не забыли ли они что-то упомянуть. Можно список составить из того что нужно обязательно вставить российские олигархи, продажное правительство, воровство и в этом роде. Позиций 30 обязательных, остальное как пойдёт. Не устанут никак, жрать видно охота. | Raptor303 писал(а): | Да и потом, кто "вы" тоже вопрос интересный |
По любому коренной москвич. Фамилию не видите. |
|
|
|
|
Ragnarog
Стаж: 12 лет 11 мес.
Сообщений: 27
Ratio: 0.935
Поблагодарили: 1
100%
|
| starlion писал(а): | из недружественных РФ стран
А это кто?
А дружественные есть? Пусть помогут. |
Дружественные сидят на шее у РФ за дружбу надо платить давать дотации чтоб кивали головами в знак доверия,ведь без денег и дружественных не останется. |
|
|
|
|
leoshin
Стаж: 9 лет 11 мес.
Сообщений: 108
Ratio: 30.728
9.78%
|
По любому до простых обывателей с Виндой всем врагам насрать, ну чё у нас на Компах игрухи с видосами, семейное фоты ? я на Комп под угрозой пыток ни какие банковские дела не буду ставить. |
|
|
|
|
Gaikotsu
RG Аниме
Стаж: 5 лет 4 мес.
Сообщений: 839
Ratio: 70.683
Раздал: 159.5 TB
Поблагодарили: 9701
100%
|
| syslog2 писал(а): | Опен сорс это открытый код. Нужно делать свое хранилище кода в России. Которое будет содержать форки всех актуальных и популярных решении на опен сорсе. И которое при каждом обновление проверяют на такие штуки.
И большинство проектов не позволяют себе такое. Потому что их делают разработчики из всех стран. Включая большое количество Азиатов. И каждая доработка кода проходит обсуждения.
А вот тонна мелких зависимостей на npm. С этим беда. Там мелкие пакеты которые часто делает один человек. И как раз с ними и возникают проблемы. |
Шум на тему "подлянок" в недавних обновлениях как раз с опенсорса и начался. Самое нашумевшее - это наверное случай с node-ipc, в который автор впихал код, удалявший все файлы на компах, определявшихся по ип как находящиеся в РФ и РБ. |
|
|
|
|
Пауковский
Стаж: 9 лет 2 мес.
Сообщений: 55
Ratio: 8.538
Поблагодарили: 2
49.14%
|
Речь идет о банковской, сетевой мобильной сфере, автоматизации, работе с САПРами типа Catia/Siemens NX - для этих направлений строго необходимо обновление т.к. любые тормоза это потенциальная уязвимость, темные лес в анализе и исследованиях. Маемо, шо маемо... |
|
|
|
|
|
|
