Segurança para data centers virtualizados
O projeto Xen pediu ajuda para garantir erros futuros não são tão perturbador como o XSA-108 falha que viu grandes operadores nuvem reiniciar uma enorme quantidade de servidores.
XSA-108 surgiu no final de setembro e viu os gostos de AWS, SoftLayer e Rackspace patch e reiniciar muitos servidores. Esses reboots são exatamente o tipo de coisa que os provedores de nuvem Só não se deve fazer, portanto, do Xen admissão de que "Durante o período de embargo de XSA-108, a equipa de segurança Xen Projeto foi confrontado com algumas questões difíceis de interpretação política, bem como as questões práticas relacionadas com a pré-divulgação pedidos de adesão lista. "
Presumivelmente porque XSA-108 era tão perturbador, a organização tem gritou agora para tudo e todos com uma "consulta à comunidade para melhorar e definir melhor a segurança do processo de resposta a vulnerabilidade do projeto."
A questão é que as políticas de segurança atuais da organização foram encontrados para ser ambíguo, ou seja, alguns membros do projeto pensei que estava tudo bem para espalhar a notícia de XSA-108, enquanto outros acreditavam que o melhor para manter a notícia em segredo. Como este resumo da resposta a XSA-108 , explica: "É (ainda!) ambíguo se membros da lista predisclosure pode compartilhar correções e outras informações com outros membros da lista predisclosure."
Também não é claro se o processo atual da organização para a notificação de vulnerabilidade "proíbe a implantação de um fornecedor de software de hospedagem remendada cliente máquinas virtuais em execução de serviço."
Cleary não é desejável para os usuários do Xen que sabem sobre bugs a ser incerto sobre se eles estão autorizados a corrigi-los, de modo que a organização quer esclarecer isso junto com as seguintes questões:
- Anúncios de serviço para os usuários não-list-Membro durante um período de embargo;
- Esclarecer os critérios relacionados com a pré-divulgação associação de lista e torná-lo mais fácil de verificá-los;
- Aplicações de processamento de lista de membros de pré-divulgação, durante um período de embargo.
"Se você usar o Xen de Projeto de Software de qualquer maneira, nós encorajamos você a expressar seus pensamentos para ajudar a formular e atualizar a nossa política de segurança para garantir que ele atenda às necessidades de toda a nossa comunidade", escreve gerente da comunidade Lars Kurth. Se você gostaria de atender a sua chamada, o esforço de consulta está acontecendo neste segmento . ®
Nenhum comentário:
Postar um comentário