Операторы ведущих репозиториев пакетов программного обеспечения с открытым исходным кодом (OSS), в том числе Python Software Foundation и Rust Foundation, изложили действия, которые они предпринимают, чтобы помочь лучше защитить экосистему программного обеспечения с открытым исходным кодом (OSS), подчеркнутые серией громких недостатков OSS за последние несколько лет, в первую очередь Log4Shell.
OSS стал предметом двухдневного саммита по безопасности, созванного директором Агентства по кибербезопасности и безопасности инфраструктуры (CISA) Джен Истерли в США на этой неделе, на котором собрались фонды OSS, репозитории пакетов, представители более широкой ИТ-индустрии и правительственных учреждений США. и организациями гражданского общества, чтобы изучить новые подходы к усилению безопасности OSS и провести настольные военные учения по реагированию на уязвимости OSS.
«Программное обеспечение с открытым исходным кодом является основой критически важной инфраструктуры, на которую американцы полагаются каждый день», — сказал Истерли. «Как национальный координатор по безопасности и устойчивости критической инфраструктуры, мы с гордостью сообщаем об этих усилиях по обеспечению безопасности экосистемы с открытым исходным кодом в тесном партнерстве с сообществом открытого исходного кода и с нетерпением ждем предстоящей работы».
«Программное обеспечение с открытым исходным кодом является критически важной основой киберпространства», — добавила Анжана Раджан, помощник национального кибер-директора по технологической безопасности. «Обеспечение того, что у нас есть безопасная и устойчивая экосистема программного обеспечения с открытым исходным кодом, является императивом национальной безопасности, фактором технологических инноваций и воплощением наших демократических ценностей. Как председатель Инициативы по безопасности программного обеспечения с открытым исходным кодом. [OS3I]ONCD стремится к тому, чтобы это оставалось приоритетом для администрации Байдена-Харриса, и высоко оценивает лидерство CISA в созыве этого важного форума».
После конференции CISA также взяла на себя обязательство тесно сотрудничать с репозиториями пакетов, чтобы способствовать внедрению недавно выпущенных Принципов безопасности репозиториев пакетов, разработанных совместно с Рабочей группой по обеспечению безопасности репозиториев программного обеспечения Open Source Security Foundation (OpenSSF), и запустила новые усилия по обеспечению добровольного сотрудничества и обмена киберданными с операторами инфраструктуры OSS для защиты цепочки поставок.
Некоторые из инициатив, продвигаемых репозиториями пакетов OSS, включают:
- В настоящее время Rust Foundation работает над внедрением инфраструктуры открытых ключей (PKI) для репозитория Crates.io для зеркалирования и двоичной подписи. Он также опубликовал более подробную модель угроз для Crates.io и представил новые инструменты для выявления вредоносной активности.
- Python Software Foundation в настоящее время привлекает к PyPI больше поставщиков, чтобы обеспечить надежную публикацию без учетных данных, а также расширяет поддержку со стороны GitHub, включая GitLab, Google Cloud и ActiveState. Также ведется работа по предоставлению API и других инструментов для сообщения о вредоносном ПО и борьбы с ним с целью повышения способности PyPI быстро и эффективно реагировать на проблемы. Кроме того, экосистема завершает поддержку индекса для цифровых аттестаций PEP 740, который позволит загружать аттестации с цифровой подписью и их проверочные метаданные в репозитории пакетов Python.
- Packagist и Composer недавно внедрили сканирование базы данных уязвимостей и приняли дополнительные меры, чтобы не дать злоумышленникам получить доступ к пакетам без авторизации, и будут проводить дополнительную работу в соответствии с принципами безопасности репозитория пакетов, а также проведут углубленный аудит существующих кодовых баз позже. в 2024 году.
- Npm, который уже требует от тех, кто поддерживает важные проекты, регистрироваться в многофакторной аутентификации (MFA), недавно представил инструмент, который позволяет им автоматически генерировать происхождение пакетов и спецификации программного обеспечения, чтобы расширить возможности пользователей отслеживать и проверять происхождение их зависимости.
- Maven Central от Sonatype с 2021 года автоматически сканирует поэтапные репозитории на наличие уязвимостей и сообщает об этом их разработчикам. В дальнейшем компания запускает портал публикации с улучшенной безопасностью репозитория, включая поддержку MFA. Другие будущие инициативы включают внедрение Sigstore, оценку Trusted Publishing и контроль доступа к пространствам имен.
Обеспечение безопасности кода
Майк Макгуайр, старший менеджер по программным решениям Synopsys Software Integrity Group, сказал: «Усилия сообщества открытого исходного кода совместно с CISA в рамках этой инициативы свидетельствуют о более широкой истине, которая заключается в том, что сопровождающие проектов с открытым исходным кодом и стюарды обычно эффективно справляются с обеспечением безопасности, актуальности и приемлемого качества своего кода.
«Нет сомнений в том, что злоумышленники воспользовались присущим нам доверием к открытому исходному коду, поэтому эти усилия должны иметь большое значение для предотвращения атак в цепочке поставок, начиная с уровня разработки проектов с открытым исходным кодом», — сказал он. .
«Однако, что бы ни было сделано в результате этих усилий, ни одно коммерческое приложение не станет более безопасным, если организации-разработчики не будут вкладывать больше средств в управление открытым исходным кодом, который они используют», — сказал Макгуайр.
«Поскольку более 70% коммерческих приложений имеют уязвимости с открытым исходным кодом высокого риска, а средний возраст всех уязвимостей составляет 2,8 года, становится ясно, что наибольшую озабоченность вызывает не сообщество открытого исходного кода, а организации, неспособные поддерживать в курсе различных работ по исправлению безопасности, которые проводит сообщество», — сказал он.
