Python의 PyPI, Maven Java 리포지토리, JavaScript용 npm(Node Package Manager)과 같은 오픈 소스 리포지토리에는 일반적으로 인프라를 관리하고 보호하기 위한 엔지니어와 자원 봉사자가 있습니다. 매일 이러한 플랫폼에서 생성되는 악의적인 사용자 및 프로젝트의 양은 빠릅니다. 보안 검토 팀의 역량 초과 유지하기 위해.
소프트웨어 무결성 회사인 Synopsys의 소프트웨어 공급망 위험 전략 책임자인 Tim Mackey는 저장소의 보안에 대한 초점은 소프트웨어 공급망이 공격자로부터 점점 더 많은 관심을 받고 있음을 반영한다고 말합니다.
“내가 공격자이고 JavaScript 애플리케이션이나 대규모 Python 애플리케이션을 손상시키려는 경우 가장 좋은 방법은 저장소의 의미 있는 요소를 제어하는 것입니다. "라고 말합니다. “따라서 내가 Python 코드, Node 코드 또는 Java 코드를 사용하는 개발 조직이라면 … 저장소가 올바른 일을 할 것이라는 암묵적인 신뢰 수준을 갖게 될 것입니다 … 공격 경로 또는 신뢰를 깨뜨릴 수 있는 방법입니다.”
관리자 및 리포지토리의 인프라 직원에 대한 작업을 줄이기 위해 진행 중인 몇 가지 기술적 노력이 있습니다. 그러나 악성 패키지와 사용자가 소프트웨어 애플리케이션에 접근하지 못하도록 하는 이 문제를 해결하려면 기술 이상의 것이 필요합니다.
케이스에 기술 적용
예를 들어 OpenSSF Scorecard(Open Software Security Foundation에서 호스팅)는 개발자의 코드 및 오픈 소스 프로젝트에 대해 자동화된 검사를 실행하여 악의적인 관리자, 소스 코드 또는 빌드 시스템의 손상, 악성 패키지의 위험을 측정하는 데 도움을 줍니다.
Chainguard의 수석 연구 과학자인 Zack Newman은 "공급망에 연결하는 것이 무엇인지에 대해 정말 신중하게 생각하는 것이 가장 좋습니다. 여기서 가장 좋은 공격은 좋은 방어입니다."라고 말합니다. "종속성을 추가할 때 스코어카드의 특정 신호를 살펴보기 위해 조직 내부의 정책을 생각해 내는 것은 먼 길을 갈 것이라고 생각합니다."
또 다른 기술인 sigstore는 개발자와 관리자가 코드에 쉽게 서명 최종 사용자가 코드의 출처를 신뢰할 수 있도록 합니다. 이 프로젝트는 개별 개발자가 자체 암호화 인프라를 관리할 필요가 없기 때문에 디지털 서명 소스 코드를 더 쉽게 만듭니다. Python에는 개발자가 sigstore를 사용하여 코드 서명을 생성하고 확인하는 데 도움이 되는 패키지가 있으며 GitHub는 또한 sigstore를 채택하기 위해 npm을 사용하는 개발자뿐만 아니라.
더 많은 인력과 프로세스 추가
도구가 아무리 훌륭하더라도 결론은 다음과 같습니다. 소프트웨어 리포지토리에 실제로 필요한 것은 더 많은 자금과 더 많은 보안 전문가 직원입니다.
Newman은 “자동화 도구를 파이프라인에 배치하라는 제안을 듣게 될 것입니다. 그러면 일부 스캐너가 업로드된 모든 패키지에서 맬웨어를 검사하도록 할 수 있습니다.”라고 Newman은 말합니다. "훌륭한 아이디어처럼 들리지만 오탐지 문제가 발생하여 수동으로 검토해야 하고 막대한 운영 오버헤드가 발생하기 때문에 귀하가 생각하는 해결책은 아닙니다. 정사각형 하나.”
소프트웨어 공급망 확보에 중점을 두면서 오픈 소스 생태계에 대한 업계의 투자가 증가했습니다. OpenSSF의 알파-오메가 프로젝트가장 중요한 프로젝트를 보호하는 것을 목표로 하는 은 이제 Python Software Foundation의 상주 보안 개발자를 보유하고 있습니다. Amazon Web Services는 또한 PyPI에 다음을 위해 기부했습니다. 안전 및 보안 엔지니어 역할 생성.
오픈소스 소프트웨어가 핵심 인프라로 확실히 인식되면서 정부 투자도 늘었다. 예를 들어 지난 XNUMX월 바이든-해리스 행정부는 국가 사이버 보안 전략 발표, 회사가 소프트웨어 제품에 대해 책임을 지도록 하는 반면 이전 백악관 회의 및 지침 오픈소스 프로젝트 확보를 위한 지원 확대를 목표로 합니다.
Synopsys의 Mackey는 더 많은 기술이 아니라 더 많은 기관이 단기적으로 많은 문제를 해결할 것이라고 말합니다.
"Python 모델에 대해 제가 좋아하는 것 중 하나는 거기에 사람의 검토 주기가 있다는 것입니다."라고 그는 말합니다. "그리고 어느 정도는 이러한 것들 중 일부에 대한 피해 범위를 제한할 것입니다."
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoAiStream. Web3 데이터 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 미래 만들기 w Adryenn Ashley. 여기에서 액세스하십시오.
- PREIPO®로 PRE-IPO 회사의 주식을 사고 팔 수 있습니다. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/dr-tech/2-lenses-examining-safety-open-source-software
