Open source-repository's - zoals Python's PyPI, de Maven Java-repository en de Node Package Manager (npm) voor JavaScript - hebben doorgaans een skeletploeg van ingenieurs en vrijwilligers om de infrastructuur te beheren en te beveiligen. Het aantal kwaadwillende gebruikers en projecten dat elke dag op deze platforms wordt gemaakt, is snel de capaciteit van beveiligingsbeoordelingsteams overtreffen bijhouden.
De focus op de beveiliging van repositories weerspiegelt de toenemende aandacht die de software supply chain heeft gekregen van aanvallers, zegt Tim Mackey, hoofd risicostrategie software supply chain bij software-integriteitsbedrijf Synopsys.
"Als ik een aanvaller ben, en ik wil een JavaScript-applicatie of een Python-applicatie op schaal compromitteren, dan is de beste manier om dat te doen, op de een of andere manier controle te krijgen over betekenisvolle elementen van de repository, " hij zegt. "Dus als ik een ontwikkelorganisatie ben die Python-code, Node-code of Java-code gebruikt... dan heb ik een zekere mate van impliciet vertrouwen dat de repository het juiste zal doen... en dat er geen intrinsieke wegen voor aanvallen of manieren waarop vertrouwen geschonden kan worden.”
Er zijn verschillende technische inspanningen aan de gang om het werk aan de infrastructuurmedewerkers van beheerders en opslagplaatsen te verminderen. Voor het oplossen van deze uitdaging - schadelijke pakketten en gebruikers buiten de softwaretoepassing houden - is echter meer nodig dan alleen technologie.
Zet technologie op de zaak
De OpenSSF Scorecard (gehost door de Open Software Security Foundation) voert bijvoorbeeld geautomatiseerde controles uit op de code van ontwikkelaars en open source-projecten om het risico van kwaadwillende beheerders, compromissen van de broncode of het buildsysteem en kwaadaardige pakketten te meten.
"Echt weloverwogen zijn over wat u in uw toeleveringsketen koppelt, is het beste - echt, de beste aanval hier is een goede verdediging", zegt Zack Newman, hoofdonderzoeker bij Chainguard. "Het bedenken van een beleid binnen een organisatie om naar specifieke signalen in de Scorecard te kijken wanneer we afhankelijkheden toevoegen, denk ik, komt een heel eind."
Een andere technologie, sigstore, stelt ontwikkelaars en beheerders in staat om eenvoudig hun code ondertekenen om de eindgebruiker vertrouwen te geven in de herkomst van de code. Het project maakt het digitaal ondertekenen van broncode eenvoudiger omdat individuele ontwikkelaars hun eigen cryptografische infrastructuur niet hoeven te beheren. Python heeft een pakket om ontwikkelaars te helpen bij het genereren en verifiëren van codehandtekeningen met behulp van sigstore, en GitHub werkt ook aan een plan voor ontwikkelaars die npm gebruiken om sigstore te adopterenAlsmede.
Voeg meer mensen toe en verwerk ook
Hoe goed de tools ook zijn, het komt erop neer: wat softwareopslagplaatsen echt nodig hebben, is meer geld en meer beveiligingsprofessionals in dienst.
"Je zult suggesties horen om geautomatiseerde tools in de pijplijn te stoppen, zodat we gewoon een scanner hebben die alle pakketten controleert terwijl ze worden geüpload op malware", zegt Newman. “Dat klinkt als een geweldig idee, maar het is niet helemaal de oplossing die je zou denken, omdat we problemen tegenkomen met fout-positieven, die vervolgens handmatig moeten worden beoordeeld, wat een enorme operationele overhead met zich meebrengt. vierkant één.”
De focus op het beveiligen van de softwaretoeleveringsketen heeft geleid tot meer investeringen door de industrie in het open source-ecosysteem. Het Alpha-Omega-project van OpenSSF, dat tot doel heeft de meest kritieke projecten te beveiligen, heeft nu een security developer-in-residence voor de Python Software Foundation. Amazon Web Services heeft ook aan PyPI gedoneerd een Safety & Security Engineer-rol creëren.
Nu open source software duidelijk erkend is als een kritieke infrastructuur, zijn ook de overheidsinvesteringen toegenomen. In maart bijvoorbeeld de regering Biden-Harris kondigde zijn Nationale Cybersecurity Strategie aan, dat bedrijven aansprakelijk wil stellen voor softwareproducten, terwijl eerdere vergaderingen en begeleiding van het Witte Huis heeft tot doel het draagvlak voor het veiligstellen van open source-projecten te vergroten.
Meer instanties, niet noodzakelijkerwijs meer technologie, zullen veel van de problemen op korte termijn oplossen, zegt Mackey van Synopsys.
"Een van de dingen die ik leuk vind aan het Python-model, is dat ze die menselijke beoordelingscyclus erin hebben", zegt hij. "En dat zal tot op zekere hoogte de omvang van de schade voor sommige van deze dingen beperken."
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
- De toekomst slaan met Adryenn Ashley. Toegang hier.
- Koop en verkoop aandelen in PRE-IPO-bedrijven met PREIPO®. Toegang hier.
- Bron: https://www.darkreading.com/dr-tech/2-lenses-examining-safety-open-source-software
