Operatorzy wiodących oprogramowanie open source Repozytoria pakietów (OSS), w tym Python Software Foundation i Rust Foundation, określiły działania, jakie podejmują, aby pomóc w lepszym zabezpieczeniu i ochronie ekosystemu oprogramowania open source (OSS), na co wskazuje seria głośnych błędów OSS w przez ostatnie kilka lat, przede wszystkim Log4Shell.
OSS było tematem dwudniowego szczytu bezpieczeństwa zwołane przez dyrektor Agencji Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) Jen Easterly w USA, które zgromadziło fundacje OSS, repozytoria pakietów, przedstawicieli szerszej branży IT oraz agencje rządowe USA i organizacje społeczeństwa obywatelskiego, aby zbadać nowe podejścia do wzmacniania bezpieczeństwa OSS i przeprowadzić ćwiczenia w grach wojennych na temat reagowania na luki w zabezpieczeniach OSS.
„Oprogramowanie typu open source jest podstawą infrastruktury krytycznej, z której Amerykanie korzystają na co dzień” – powiedział Easterly. „Jako krajowy koordynator ds. bezpieczeństwa i odporności infrastruktury krytycznej z dumą ogłaszamy podjęcie wysiłków mających na celu zabezpieczenie ekosystemu open source w ścisłej współpracy ze społecznością open source i jesteśmy podekscytowani nadchodzącą pracą”.
„Oprogramowanie typu open source to kluczowy fundament cyberprzestrzeni” – dodała Anjana Rajan, zastępca krajowego dyrektora ds. cyberbezpieczeństwa ds. bezpieczeństwa technologicznego. „Zapewnienie bezpiecznego i odpornego ekosystemu oprogramowania typu open source jest imperatywem bezpieczeństwa narodowego, czynnikiem umożliwiającym innowacje technologiczne i ucieleśnieniem naszych wartości demokratycznych. Jako przewodniczący Inicjatywy na rzecz Bezpieczeństwa Oprogramowania Otwartego [OS3I]ONCD dokłada wszelkich starań, aby pozostało to priorytetem dla administracji Bidena-Harrisa i wyraża uznanie dla przywództwa CISA w zwoływaniu tego ważnego forum”.
Po konferencji CISA zobowiązała się również do ścisłej współpracy z repozytoriami pakietów, aby zwiększyć wykorzystanie niedawno wprowadzonych pakietów Zasady bezpieczeństwa repozytorium pakietówopracowany wspólnie z Fundacja bezpieczeństwa Open Source (OpenSSF) grupy roboczej ds. zabezpieczania repozytoriów oprogramowania i podjął nowe wysiłki mające na celu umożliwienie dobrowolnej współpracy i udostępniania danych cybernetycznych operatorom infrastruktury OSS w celu ochrony łańcucha dostaw.
Niektóre z inicjatyw realizowanych przez repozytoria pakietów OSS obejmują:
- The Fundacja Rdzy obecnie pracuje nad wprowadzeniem Infrastruktura klucza publicznego (PKI) dla Crates.io repozytorium do tworzenia kopii lustrzanych i podpisywania binarnego. Opublikował także bardziej szczegółowy model zagrożeń dla Crates.io i wprowadził nowe narzędzia do identyfikowania szkodliwej aktywności.
- The Fundacja oprogramowania Python obecnie rekrutuje kolejnych dostawców PyPI aby umożliwić zaufane publikowanie bez poświadczeń i rozszerzyć wsparcie ze strony GitHub aby zawierało GitLabGoogle Cloud i Stan aktywny. Trwają również prace nad udostępnieniem interfejsu API i innych narzędzi do raportowania i eliminowania złośliwego oprogramowania, których celem jest zwiększenie zdolności PyPI do szybkiego i skutecznego reagowania na problem. Ponadto ekosystem finalizuje obsługę indeksu dla atestów cyfrowych, PEP 740, który umożliwi przesyłanie cyfrowo podpisanych zaświadczeń i ich weryfikujących metadanych do repozytoriów pakietów Pythona.
- Pakowacz I Kompozytor niedawno wprowadził skanowanie baz danych pod kątem luk w zabezpieczeniach i dalsze środki mające na celu powstrzymanie atakujących przed przejmowaniem pakietów bez autoryzacji, a także podejmie dalsze prace zgodnie z zasadami dotyczącymi bezpieczeństwa repozytorium pakietów oraz przeprowadzi dogłębny audyt istniejących baz kodów pod koniec 2024 r.
- Npmktóra już wymaga od osób realizujących projekty o dużym wpływie zarejestrowania się w usłudze uwierzytelniania wieloskładnikowego (MFA), niedawno wprowadziła narzędzia, które pozwalają im automatycznie generować pochodzenie pakietów i zestawienia materiałów oprogramowania w celu zwiększenia możliwości użytkowników w zakresie śledzenia i weryfikowania pochodzenia ich zależności.
- Firma Sonatype Centrum Mavena od 2021 r. automatycznie skanuje tymczasowe repozytoria pod kątem luk w zabezpieczeniach i raportuje ich programistom. W przyszłości uruchamia portal wydawniczy z ulepszonymi zabezpieczeniami repozytoriów, w tym obsługą MFA. Inne przyszłe inicjatywy obejmują wdrożenie Sigstore, ocenę Trusted Publishing i kontrolę dostępu do przestrzeni nazw.
Dbanie o bezpieczeństwo kodu
Mike McGuire, starszy menedżer ds. rozwiązań programowych w firmie Grupa ds. integralności oprogramowania Synopsyspowiedział: „Wysiłki społeczności open source, we współpracy z CISA w ramach tej inicjatywy, wskazują na szerszą prawdę, która jest taka, że opiekunowie i stewardzi projektów open source na ogół skutecznie dbają o bezpieczeństwo swojego kodu, jak dotąd i o akceptowalnej jakości.
„Nie ma wątpliwości, że ugrupowania zagrażające wykorzystują nieodłączne zaufanie, jakie mamy do oprogramowania typu open source, zatem wysiłki te powinny znacznie pomóc w zapobieganiu rozpoczynaniu się ataków na łańcuch dostaw na poziomie rozwoju projektów typu open source” – stwierdził. .
„Jednak bez względu na to, co zostanie zrobione w wyniku tych ćwiczeń, żadna aplikacja komercyjna nie będzie bezpieczniejsza, jeśli organizacje programistyczne nie zainwestują więcej w zarządzanie otwartym oprogramowaniem, z którego korzystają” – powiedział McGuire.
“Gdy ponad 70% aplikacji komercyjnych ma lukę w zabezpieczeniach typu open source wysokiego ryzykaa średni wiek wszystkich luk wynosi 2,8 roku, jasne jest, że największym problemem nie jest społeczność open source, ale to, że organizacje nie są na bieżąco z różnorodnymi pracami związanymi z łataniem zabezpieczeń, które wykonuje ta społeczność.” powiedział.