AWS 將 Cedar 政策即代碼工具轉化為開源項目

今日，在北美開源峰會上，亞馬遜網絡服務（AWS）宣布將其開發的Cedar語言開源。Cedar是一種定義權限為政策的語言，包括自動推理功能，能數學證明IT環境的安全性。

此外，AWS還推出了一個開源的模糊測試工具SnapChange，允許網絡安全研究人員通過在KVM虛擬機器中重播物理記憶體快照來發現漏洞。模糊測試通過監控系統在處理隨機數據時的行為來發現軟件安全問題。

AWS的開源市場營銷總監David Nalley表示，這兩個項目是AWS持續向開源社區貢獻智慧財產的一部分，這對於在AWS雲上部署應用的組織來說起著關鍵作用。

AWS一直在使用Cedar為IT組織提供編寫可在任何地方部署的授權政策的能力。它在AWS管理的Verified Permissions服務中得到了廣泛使用，該服務代表在其雲上部署工作負載的組織管理這些過程。

Cedar與其他政策即代碼方法不同之處在於它採用了自動推理，這是計算機科學的一個子領域，被認為是人工智能（AI）的一部分，能夠使機器證明定理和檢查。Nalley特別指出，後者的能力對於使組織能夠數學證明合規要求已經持續得到滿足尤為關鍵。

否則，IT組織將完全依賴於由人類進行的間歇性審計評估，這些評估可能會得出各種主觀結論。

AWS最近對開源的貢獻正值對開源軟件的開發和使用方式進行更多審查的時刻。在Log4j監控軟件項目等一系列涉及開源軟件的漏洞披露之後，這種審查加劇了。

許多開源軟件項目的維護者往往沒有立即修補漏洞所需的資源或能力。這尤其成問題，因為對開源軟件漏洞的研究越來越多，一旦在大量由開發者創建且在網絡安全專業知識有限的情況下的軟件中檢測到漏洞，只是時間問題。消費開源軟件的企業需要仔細關注當該軟件被整合進應用環境時所創建的依賴關係。發現零日漏洞的補丁可能不會立即可用。

希望，開源軟件的消費者將通過貢獻代碼或提供維護者需要的財務資源以花費時間和努力創建對漏洞的及時修補，從而更多地參與到其開發中。然而，與此同時，他們還應該審查在生產環境中運行的應用中包含了哪些開源軟件。網絡罪犯越來越傾向於發現並利用不僅現有應用中的漏洞，而且還有那些他們知道可能會在廣泛的下游應用中被使用的組件中的漏洞。

因此，通過擁抱DevSecOps實踐將更多的網絡安全專業知識應用於應用開發，已經成為一種必要而不僅僅是建議。