Python'un PyPI'si, Maven Java deposu ve JavaScript için Düğüm Paket Yöneticisi (npm) gibi açık kaynak havuzları, genellikle altyapıyı yönetmek ve güvenliğini sağlamak için mühendislerden ve gönüllülerden oluşan bir iskelet ekibine sahiptir. Bu platformlarda her gün oluşturulan kötü niyetli kullanıcı ve proje hacmi hızlıdır. güvenlik inceleme ekiplerinin kapasitesini geride bırakıyor yetişmek için.
Yazılım bütünlüğü firması Synopsys'in yazılım tedarik zinciri risk stratejisi başkanı Tim Mackey, havuzların güvenliğine odaklanmanın, yazılım tedarik zincirinin saldırganlardan topladığı artan ilgiyi yansıttığını söylüyor.
"Eğer bir saldırgansam ve geniş ölçekte bir JavaScript uygulamasını veya bir Python uygulamasını ele geçirmek istiyorsam, bunu yapmanın en iyi yolu bir şekilde deponun anlamlı öğeleri üzerinde kontrol sahibi olmaktır. " diyor. "Python kodunu, Düğüm kodunu veya Java kodunu kullanan bir geliştirme kuruluşuysam... Deponun doğru şeyi yapacağına dair üstü kapalı bir güven düzeyine sahip olacağım... saldırı yolları veya güvenin ihlal edilebileceği yollar.
Bakım görevlileri ve depoların altyapı personeli üzerindeki işi azaltmak için devam eden birkaç teknik çaba var. Ancak, kötü amaçlı paketleri ve kullanıcıları yazılım uygulamasından uzak tutan bu zorluğu çözmek, teknolojiden daha fazlasını gerektirir.
Teknolojiyi Kasaya Ekleyin
Örneğin, OpenSSF Puan Kartı (Open Software Security Foundation tarafından barındırılır), kötü niyetli bakıcılar, kaynak kodundan veya derleme sisteminden ödün verilmesi ve kötü amaçlı paketler riskini ölçmeye yardımcı olmak için geliştiricilerin koduna ve açık kaynak projelerine karşı otomatik kontroller gerçekleştirir.
Chainguard'ın baş araştırma bilimcisi Zack Newman, "Tedarik zincirinize neyi bağladığınız konusunda gerçekten kasıtlı olmak en iyisidir - gerçekten, buradaki en iyi saldırı, iyi bir savunmadır" diyor. "Bağımlılıkları eklerken Puan Kartındaki belirli sinyallere bakmak için bir kuruluş içinde bir politika geliştirmek bence çok yol kat ediyor."
Başka bir teknoloji olan sigstore, geliştiricilerin ve bakımcıların kodlarını kolayca imzala son kullanıcının kodun kaynağına güven duymasını sağlamak için. Proje, kaynak kodunu dijital olarak imzalamayı kolaylaştırıyor çünkü bireysel geliştiricilerin kendi kriptografik altyapılarını yönetmeleri gerekmiyor. Python, geliştiricilerin sigstore kullanarak kod imzaları oluşturmasına ve doğrulamasına yardımcı olacak bir pakete sahiptir ve GitHub ayrıca bir plan üzerinde çalışmaktadır. sigstore'u benimsemek için npm kullanan geliştiricilerYanı.
Daha Fazla Kişi Ekleyin ve İşlem Yapın
Araçlar ne kadar iyi olursa olsun, sonuç şu: Yazılım havuzlarının gerçekten ihtiyacı olan şey, daha fazla fon ve personelde daha fazla güvenlik uzmanı.
Newman, "Ardışık düzene otomatik araçlar koyma önerileri duyacaksınız, böylece bazı tarayıcılar kötü amaçlı yazılım için yüklenirken tüm paketleri kontrol etsin," diyor. "Kulağa harika bir fikir gibi geliyor, ancak tam olarak düşündüğünüz çözüm değil çünkü yanlış pozitiflerle ilgili sorunlarla karşılaşıyoruz ve bunların daha sonra manuel olarak gözden geçirilmesi gerekiyor ve bu da büyük bir operasyonel ek yük getiriyor - ve şimdi geri döndük. birinci kare.”
Yazılım tedarik zincirinin güvenliğini sağlamaya odaklanma, endüstrinin açık kaynak ekosistemine yaptığı yatırımın artmasına neden oldu. OpenSSF'in Alpha-Omega ProjesiEn kritik projelerin güvenliğini sağlamayı hedefleyen , artık Python Software Foundation için yerleşik bir güvenlik geliştiricisine sahip. Amazon Web Services ayrıca PyPI'ye bağışta bulundu. Emniyet ve Güvenlik Mühendisi rolü oluşturun.
Açık kaynak yazılımın kritik bir altyapı olarak açıkça tanınmasıyla, devlet yatırımı da arttı. Örneğin Mart ayında Biden-Harris yönetimi Ulusal Siber Güvenlik Stratejisini açıkladışirketleri yazılım ürünlerinden sorumlu tutmaya çalışırken, önceki Beyaz Saray toplantıları ve rehberlik açık kaynak projelerini güvence altına almak için desteği artırmayı hedefliyor.
Synopsys'ten Mackey, daha fazla teknoloji değil, daha fazla gövdenin kısa vadede birçok sorunu çözeceğini söylüyor.
"Python modeliyle ilgili sevdiğim şeylerden biri, insan inceleme döngüsüne sahip olmaları," diyor. "Ve bu, bir dereceye kadar, bunlardan bazıları için hasarın kapsamını sınırlayacak."
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoAiStream. Web3 Veri Zekası. Bilgi Genişletildi. Buradan Erişin.
- Adryenn Ashley ile Geleceği Basmak. Buradan Erişin.
- PREIPO® ile PRE-IPO Şirketlerinde Hisse Al ve Sat. Buradan Erişin.
- Kaynak: https://www.darkreading.com/dr-tech/2-lenses-examining-safety-open-source-software
