CISA on teatanud mitmest tegevusest, et aidata kaitsta globaalset avatud lähtekoodiga ökosüsteemi, kuna juhtivad pakettide hoidlad, sealhulgas Pythoni ja Rusti sihtasutused, edendavad oma algatusi.
Juhtivate avatud lähtekoodiga tarkvara (OSS) pakettide hoidlate operaatorid, sealhulgas Python Software Foundation ja Rust Foundation, on välja toonud meetmed, mida nad võtavad, et aidata paremini kaitsta ja kaitsta avatud lähtekoodiga tarkvara (OSS) ökosüsteemi, mida rõhutavad mitmed viimaste aastate kõrgetasemelisi OSS-i vigu, eriti Log4Shell.
OSS-i teemaks oli sel nädalal USA-s Küberturvalisuse ja Infrastruktuuri Turvaagentuuri (CISA) direktor Jen Easterly kokku kutsutud kahepäevane turvalisuse tippkohtumine, mis tõi kokku OSS-i sihtasutused, pakettide hoidlad, laiema IT-tööstuse esindajad ja USA valitsusasutused. ja kodanikuühiskonna organisatsioonid, et uurida uusi lähenemisviise OSS-i turvalisuse tugevdamiseks ja viia läbi lauapealseid sõjaharjutusi OSS-i haavatavusele reageerimiseks.
"Avatud lähtekoodiga tarkvara on kriitilise infrastruktuuri aluseks, millele ameeriklased iga päev toetuvad," ütles Easterly. "Kriitilise infrastruktuuri turvalisuse ja vastupanuvõime riikliku koordinaatorina teatame uhkusega, et oleme teinud jõupingutusi avatud lähtekoodiga ökosüsteemi kaitsmiseks tihedas koostöös avatud lähtekoodiga kogukonnaga ja ootame tulevase töö üle põnevil."
"Avatud lähtekoodiga tarkvara on küberruumi missioonikriitiline alus," lisas Anjana Rajan, riikliku küberdirektori assistent tehnoloogia turvalisuse alal. „Turvalise ja vastupidava avatud lähtekoodiga tarkvara ökosüsteemi tagamine on riigi julgeoleku hädavajalik, tehnoloogilise innovatsiooni võimaldaja ja meie demokraatlike väärtuste kehastus. Avatud lähtekoodiga tarkvara turbealgatuse [OS3I] juhina on ONCD pühendunud selle tagamisele, et see jääb Biden-Harrise administratsiooni prioriteediks, ning kiidab CISA juhtpositsiooni selle olulise foorumi kokkukutsumise eest.
Pärast konverentsi on CISA võtnud endale kohustuse teha tihedat koostööd paketihoidlatega, et kiirendada oma hiljuti käivitatud pakettide hoidlate turvalisuse põhimõtete kasutuselevõttu, mis töötati välja koos Open Source Security Foundationi (OpenSSF) turvaliste tarkvarahoidlate töörühmaga, ning käivitas uued jõupingutused, et võimaldada vabatahtlikku koostööd ja küberandmete jagamist OSS-i infrastruktuuri operaatoritega, et kaitsta tarneahelat.
Mõned OSS-i pakettide hoidlate algatused hõlmavad järgmist:
— Rust Foundation töötab praegu selle nimel, et tuua Crates.io hoidlasse peegeldamiseks ja binaarseks allkirjastamiseks avaliku võtme infrastruktuur (PKI). Samuti on ta avaldanud Crates.io jaoks üksikasjalikuma ohumudeli ja tutvustanud uusi tööriistu pahatahtliku tegevuse tuvastamiseks.
— Python Software Foundation kaasab praegu PyPI-sse rohkem teenusepakkujaid, et võimaldada usaldusväärset, mandaadivaba avaldamist ja laiendada GitHubi tuge, et hõlmata GitLabi, Google Cloudi ja ActiveState'i. Käimas on ka töö API ja muude tööriistade pakkumiseks pahavarast teatamiseks ja selle leevendamiseks, eesmärgiga suurendada PyPI võimet probleemile kiiresti ja tõhusalt reageerida. Lisaks lõpetab ökosüsteem digitaalsete tõendite PEP 740 indeksi toe, mis võimaldab digitaalselt allkirjastatud tõendeid ja nende kontrollivaid metaandmeid Pythoni pakettide hoidlatesse üles laadida.
— Packagist ja Composer võtsid hiljuti kasutusele haavatavuse andmebaaside skannimise ja täiendavad meetmed, et takistada ründajatel pakette ilma loata üle võtmast, ning hakkavad tegema rohkem tööd vastavalt pakettide hoidla turvalisuse raamistikule ja viivad hiljem läbi olemasolevate koodibaaside põhjaliku auditi. aastal 2024.
— Npm, mis nõuab juba mõjukate projektide haldajatelt mitmefaktorilise autentimise (MFA) registreerimist, on hiljuti kasutusele võtnud tööriistad, mis võimaldavad neil automaatselt genereerida paketi päritolu ja tarkvara materjaliarveid, et parandada kasutajate võimet jälgida ja kontrollida nende päritolu. nende sõltuvused.
— Sonatype'i Maven Central on alates 2021. aastast automaatselt skanninud etapiviisilisi hoidlaid turvaaukude leidmiseks ja teavitanud nende arendajaid. Edaspidi käivitab see avaldamisportaali, millel on täiustatud hoidlate turvalisus, sealhulgas MFA tugi. Muud tulevased algatused hõlmavad Sigstore'i juurutamist, usaldusväärse avaldamise hindamist ja juurdepääsu kontrolli nimeruumidele.
Koodi turvalisena hoidmine
— Synopsys Software Integrity Groupi vanemtarkvaralahenduste juht Mike McGuire ütles: „Avatud lähtekoodiga kogukonna jõupingutused koostöös CISAga selle algatuse osana viitavad laiemale tõele, milleks on see, et avatud lähtekoodiga projektide hooldajad ja korrapidajad teevad üldiselt tõhusat tööd, et hoida oma kood turvalisena, ajakohasena ja vastuvõetava kvaliteediga.
— "Pole kahtlust, et ohus osalejad on kasutanud ära meie loomuomast usaldust avatud lähtekoodiga, nii et need jõupingutused peaksid aitama palju ära hoida tarneahela rünnakute algamisel avatud lähtekoodiga projekti arendamise tasemel," ütles ta. .
— "Kuid hoolimata sellest, mida nende harjutuste tõttu tehakse, ei muutu ükski kommertsrakendus enam turvalisemaks, kui arendusorganisatsioonid ei investeeri rohkem nende poolt kasutatava avatud lähtekoodi haldamisse," ütles McGuire.
— "Kui üle 70% kommertsrakendustest on kõrge riskiga avatud lähtekoodiga haavatavus ja kõigi haavatavuste keskmine vanus on 2,8 aastat, on selge, et suurim mure pole mitte avatud lähtekoodiga kogukond, vaid organisatsioonid, kes ei suuda seda hoida. kursis kogukonnas tehtava erineva turbepaigaldustööga, ”ütles ta.
Lisateavet avatud lähtekoodiga turvalisuse kohta:
— Avatud lähtekoodiga tarkvara kasutamine tekitab muret turvalisuse ja intellektuaalomandi pärast. Siit saate teada, kuidas teha mõistlikke otsuseid ja vältida olukordi, mida kahetsete.
— Inteli Arun Gupta, kes on nüüd nii CNCF-i kui ka OpenSSF-i juhatuse esimees, arutab oma plaane koondada kõik kolm organisatsiooni, et parandada avatud lähtekoodiga turvalisust.
— Rahvusliku küberdirektori kohusetäitja ütles oma Black Hat USA 2023 peakõne ajal, et Valge Maja soovib avatud lähtekoodiga tarkvara turvalisuse parandamiseks välja töötada realistlikud poliitikad.
https://www.computerweekly.com/news/...tware-security