MOAD扫描器作为永久农业实践
永久农业的第一原则是观察再行动。花时间在你想改变的系统中。了解它的流动、积累和废物流之前设计你的干预。一个观察水泊的地方、阳光照到的地方和养分积聚的地方的园丁,通过更有效地放置植物比遵循通用的计划更有效。
MOAD扫描器将这个原则应用于软件生态系统。在提交任何问题之前,扫描跨项目和编程语言。映射缺陷的分布:有多少项目携带CWE-407?哪些项目在高流量路径中携带?如果修复了上游包,修复将传播到影响最多的依赖项吗?在对任何单个节点采取行动之前,观察生态系统。
与.extractive实践形成对比:发现一个漏洞,卖给一个漏洞经纪人,收取报酬,继续。研究人员从知识中提取了财务资本,并离开。没有知识传播。没有系统改善。每个受影响项目的未来用户仍然是脆弱的。经纪人持有知识,它在漏洞老化没有披露时价值逐渐消退。
永久计算实践:发现一个缺陷,修复它,披露它,提交上游,作为公共领域发布。知识传播而不衰减——实际上它会复合:披露的CVE成为一个参考,一个MOAD帖子教会模式,未来研究人员使用相同模式找到新的实例。一个封闭的循环,而不是一个终端提取。
永久农业观察在永久农业行动之前。扫描生成关于激增分数、依赖图和受影响节点数量的数据,任何修复都不会移动。这些建议首先发货:广泛依赖的库的高之间性节点,而不是叶子节点,因为修复的修复对单元努力的传播更远。
不产生废物:三条披露路径
研究人员在一个流行的开源库中发现了一个关键漏洞后,可以采取三条路径:
A. 将其卖给漏洞经纪人,得到10,000美元。
B. 私下向维护者报告,制定90天披露时间表,然后不管是否有补丁就发布。
C. 立即提交补丁作为拉取请求,同时进行公共披露。
在开放系统中复合
永久农业的第二个原则:在能量流丰富时捕捉并储存能量,以便在流失时有储备。雨水收集系统在暴风雨时储存水分,干季时使用。食物森林在不同季节储存太阳能作为果实和生物质。目标:将储存的时间与丰收的时间相匹配。
汉明的复合知识:每个新技术都连接到你的重要问题列表中,乘以生产力输出。关于信息熵的单个见解,对香农而言,解锁了十年的理论工作,因为它与他列表上的每个开放问题同时连接。存储的知识实现了复合利息。
开源复合与个人复合不同。一个合并到标准仓库中的修复存储在一个地方,所有下游分支都自动从中吸收能量。2022年提交到Python的asyncio库的修复,将自动传播到使用该库的所有项目,无需原始研究人员再采取任何额外措施。源头存储的能量通过依赖图传播复合。
MOAD文章存储能量方式不同:每篇文章教会你扫描模式,而不是仅仅揭示具体实例。阅读CWE-407 MOAD文章的研究人员,不仅了解Project X存在冲洗漏洞,而且了解在任何语言中如何识别冲洗模式、如何搜索它以及如何将其与正常相似的代码区分开来。未来的研究人员使用存储的模式找到新实例,而不是从零开始。
能量存储机制与能量本身一样重要。存储在私人笔记本中的知识,只对笔记本的所有者复合。存储在公共仓库中的知识,对所有阅读它的人复合。存储在CVE数据库中的知识,对运行安全扫描器的人们复合。每个存储位置都有不同的复合特征。
问题跟踪器与个人问题列表
汉明将10个重要问题列为重复返回的列表。他的列表作为个人存储的能量,实现了持久的投资于模式匹配,每当出现新技术时,都会为他带来利润。
MOAD循环作为封闭系统
永久农业:在一个设计良好的系统中,一过程的输出会喂养另一个过程的输入。没有输出从系统中流出作为废物。食物森林中的鸡会产生蛋(食物)、粪便(肥料)、捕捉害虫(服务)和挖土(土壤通气)。每个输出都路由到下游过程,而不是离开系统。
MOAD工厂模型构建了类似的封闭循环。每个阶段产生的输出都会喂养下一个阶段:
扫描产生:确认缺陷实例、受影响节点的位置图、基于之间性和交通的严重程度估计。
修复产生:代码更正、一条确认修复的单元测试、一条维护者可查看的差异。
MOAD post 生成:一个公有领域文章,解释了缺陷类、扫描模式和修复方法。知识资本在任何单个实例之后持续存在。
CVE披露 生成:一个标准化的NVD记录,触发跨所有受影响安装的自动安全扫描。安全社区的社会资本。
上游PR 生成:修复在规范源中,自动传播到下游分支在他们下一次依赖更新时。
每个输出反馈:一个MOAD post 教研发人员找到新的实例,这生成新的扫描。单元测试变成回归保护。CVE记录驱动操作团队采用补丁,他们否则会忽略它。循环关闭。
停止条件:一个未确认下游容量的披露会淹没队列。MOAD-0001 & MOAD-0005耦合:在高中心性节点上解决O(N²)问题 & 同时所有下游处理器都被淹没。这里也适用永久农业的整体系统设计原则:优化组件可能会在下游创建一个新瓶颈。
将输出映射到资本
一个MOAD管道生成五个输出:一个扫描结果、一個补丁、一個MOAD post、一個CVE披露和一个上游PR。