Логотип

Новый веб-сайт позволяет сканировать снимки на наличие известных уязвимостей в системе безопасности

Новый веб-сайт позволяет сканировать снимки на наличие известных уязвимостей в системе безопасности

Вы когда-нибудь задумывались, насколько безопасны приложения, которые вы устанавливаете из Snap Store? Новый веб-сайт выпускника Ubuntu Алана Поупа позволяет легко это выяснить.

Веб-сайт Snapscope использует инструмент безопасности с открытым исходным кодом Grype для сканирования пакетов Snap на наличие CVE и уязвимостей в системе безопасности (критических, с высоким, средним и низким уровнем риска, активно эксплуатируемых), которые могут повлиять на пользователей.

Вы можете «найти любой пакет snap, оценить его безопасность и изучить CVE». Разработчик отмечает, что на сайте «нет оценок, только факты».

С помощью Snapscope это легко увидеть: :

  • Поиск по названию пакета или организации/разработчику
  • Недавно сканировалось и Наибольшее количество уязвимостей
  • Ссылки для получения дополнительной информации о перечисленных уязвимостях
  • Возможность поставить пакеты Snap в очередь на повторное сканирование

 

Алан делится видеоинструкцией о том, как работает его сайт с цветовой кодировкой, чтобы любой, кто пытается в этом разобраться (или, что более вероятно, просто хочет услышать приятный голос Алана), мог следовать его примеру:

 

Какими бы пугающими ни были результаты, стоит сохранять объективность.

Большинство уязвимостей в Snap, которые я обнаружил, были связаны не с самим Snap, а с библиотеками (многие из которых были устаревшими), которые были встроены в систему для обеспечения её работы.

Разработчики Snap могут использовать собственные библиотеки, а не полагаться на общесистемные. Это преимущество (автономность означает, что новые приложения работают на старых дистрибутивах), но в то же время и недостаток: если в библиотеке есть уязвимость, она не будет исправлена, пока этого не сделает разработчик Snap.

Читать  Как установить Passbolt в Ubuntu 22.04

Те же уязвимости будут затронуты в той же версии любых библиотек, независимо от формата их упаковки.

В Ubuntu включены базовые оснастки для уменьшения дублирования ключевых библиотек (и упрощения системы безопасности), что может развеять опасения, подобные тем, что высказаны в Даррене Хорроксев статье Snap Unsnapped, если не по тем причинам, по которым Linux Mint по умолчанию запрещает установку оснасток.

Ограничения безопасности в изолированной среде Snap используют impact, а это означает, что даже в наихудшем сценарии существуют меры безопасности – если только они не отменены пользователями, – чтобы гарантировать, что информация не выйдет за пределы изолированной среды.

Прозрачность в создании и поддержке Snaps — вот что делает создание такого сайта простым.

Большое количество пакетов в магазине Snap не обновлялось в течение лет. На самом деле многие из них, скорее всего, были тестовыми пакетами, созданными разработчиками, которые экспериментировали с форматом (даже при создании «hello world» его часто публиковали в магазине чтобы любой мог найти и установить его).

 

Обратная связь — это не (всегда) критика

Мы хотим вернуться к утверждению «без осуждения, только факты» на сайте, потому что важно подчеркнуть, что это

Люди, которые любят {$preferred_thing}, могут разозлиться из-за любого предположения (правдивого или нет) о том, что их {$preferred_thing} не является самым, лучшим и величайшим — это касается чего угодно: K-Pop группы, футбольной команды и т. д., вплоть до форматов упаковки.

Читать  Thunderbird Pro приближается к запуску: новый веб-сайт

Некоторая эмоциональная вовлечённость — это не всегда плохо, но безудержная поддержка может заглушить конструктивную критику и в итоге принести больше вреда, чем пользы.

Snap — яркий тому пример.

Часто повторяющийся рефрен о том, что «снимки экрана работают медленнее, чем другие форматы»? Проблема давно решена, да, но мнение остаётся прежним, поскольку обратная связь долгое время игнорировалась из-за того, что сторонники формата называли критику «ненавистью».

Только когда «нет, правда, они запускаются медленнее» заявления стали звучать громче, а к ним присоединились люди, которых было не так-то просто отмахнуться, назвав «хейтерами», проблема наконец-то дошла до инженерной команды Snap.

Оказалось, что Snaps были медленнее, и признание этого факта не убило формат, а сделало его лучше. С точки зрения скорости Snaps теперь не уступают нативным форматам, а разработка и исследование, которые привели к этому, позволили провести другие оптимизации.

Snapscope не доказывает, что Snap менее безопасен, чем любой другой формат, но он показывает, почему важна такая возможность — а «обратная связь», которую он ненавязчиво предоставляет, может привести к тому, что разработчики Snap будут чаще обновлять свои приложения.

Если хотите проверить, откройте в браузере snapscope.popey.com.

Просмотров поста: 1

Редактор: AndreyEx

Рейтинг: 5 (1 голос)
Если статья понравилась, то поделитесь ей в социальных сетях:
, , ,
Безопасность в IT, НовостиIT
Кол-во комментариев: 0
Android-игры: как устроен и развивается мобильный гейминг
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии

Это может быть вам интересно

Моделирование ветровых нагрузок на арочные шатры в Linux: Полное руководство по CFD-анализу тентовых конструкций
Моделирование ветровых нагрузок на арочные шатры в Linux: Полное руководство по CFD-анализу тентовых конструкций
Дебют программы-вымогателя CyberVolk выявил уязвимость в криптографии
Дебют программы-вымогателя CyberVolk выявил уязвимость в криптографии
Двухэкранная электронная книга Diptyx с открытым исходным кодом представлена на Crowd Supply
Двухэкранная электронная книга Diptyx с открытым исходным кодом представлена на Crowd Supply
Apple устраняет две уязвимости нулевого дня, которые использовались в «сложных» атаках
Apple устраняет две уязвимости нулевого дня, которые использовались в «сложных» атаках
Загрузка...

Спасибо!

Теперь редакторы в курсе.

Закрыть
Прокрутить страницу до начала