Руководители OSS подробно описывают обязательства по повышению безопасности программного обеспечения

Операторы ведущих программное обеспечение с открытым исходным кодом Репозитории пакетов (OSS), включая Python Software Foundation и Rust Foundation, изложили действия, которые они предпринимают, чтобы помочь лучше защитить экосистему программного обеспечения с открытым исходным кодом (OSS), что подчеркивается серией громких недостатков OSS в последние несколько лет, особенно Log4Shell.

УСС стало предметом двухдневного саммита по безопасности созвано директором Агентства кибербезопасности и безопасности инфраструктуры (CISA) Джен Истерли на этой неделе в США, где собрались фонды OSS, репозитории пакетов, представители более широкой ИТ-индустрии, а также правительственные учреждения США и организации гражданского общества, чтобы изучить новые подходы к усилению безопасности OSS и провести настольные военные игры по реагированию на уязвимости OSS.

«Программное обеспечение с открытым исходным кодом является основой критически важной инфраструктуры, на которую американцы полагаются каждый день», — сказал Истерли. «Как национальный координатор по безопасности и устойчивости критической инфраструктуры, мы с гордостью сообщаем об этих усилиях по обеспечению безопасности экосистемы с открытым исходным кодом в тесном партнерстве с сообществом открытого исходного кода и с нетерпением ждем предстоящей работы».

«Программное обеспечение с открытым исходным кодом является критически важной основой киберпространства», — добавила Анжана Раджан, помощник национального кибер-директора по технологической безопасности. «Обеспечение того, что у нас есть безопасная и устойчивая экосистема программного обеспечения с открытым исходным кодом, является императивом национальной безопасности, фактором технологических инноваций и воплощением наших демократических ценностей. Как председатель Инициативы по безопасности программного обеспечения с открытым исходным кодом. [OS3I]ONCD стремится к тому, чтобы это оставалось приоритетом для администрации Байдена-Харриса, и высоко оценивает лидерство CISA в созыве этого важного форума».

После конференции CISA также взяла на себя обязательство тесно сотрудничать с репозиториями пакетов, чтобы ускорить распространение своих недавно запущенных Принципы безопасности репозитория пакетовразработанный совместно с Фонд безопасности открытого исходного кода (OpenSSF) по обеспечению безопасности репозиториев программного обеспечения и предпринял новую попытку обеспечить добровольное сотрудничество и обмен киберданными с операторами инфраструктуры OSS для защиты цепочки поставок.

Некоторые из инициатив, продвигаемых репозиториями пакетов OSS, включают:

• Фонд ржавчины в настоящее время работает над тем, чтобы ввести Инфраструктура открытых ключей (PKI) для Ящики.io репозиторий для зеркалирования и двоичной подписи. Он также опубликовал более подробную модель угроз для Crates.io и представил новый инструмент для выявления вредоносной активности.
• Фонд программного обеспечения Python в настоящее время привлекает больше поставщиков для ПиПИ чтобы обеспечить надежную публикацию без учетных данных и расширить поддержку со стороны GitHub включать GitLabGoogle Cloud и Активстате. Также ведется работа по предоставлению API и других инструментов для оповещения о вредоносном ПО и борьбы с ним с целью повышения способности PyPI быстро и эффективно реагировать на проблемы. Кроме того, экосистема завершает поддержку индекса для цифровых аттестаций PEP 740, который позволит загружать аттестации с цифровой подписью и их проверочные метаданные в репозитории пакетов Python.
• Упаковщик и Композитор недавно ввел сканирование базы данных уязвимостей и принял дополнительные меры, чтобы не дать злоумышленникам получить доступ к пакетам без авторизации, а также проведет дополнительную работу в соответствии с принципами безопасности репозитория пакетов, а также проведет углубленный аудит существующих кодовых баз позднее в 2024 году.
• Нпмкоторый уже требует от тех, кто поддерживает важные проекты, регистрироваться в многофакторной аутентификации (MFA), недавно представил инструмент, который позволяет им автоматически генерировать происхождение пакетов и спецификации программного обеспечения чтобы расширить возможности пользователей отслеживать и проверять происхождение их зависимостей.
• Сонатип Мавен Центральный с 2021 года автоматически сканирует поэтапные репозитории на наличие уязвимостей и сообщает об этом их разработчикам. В дальнейшем компания запускает портал публикации с улучшенной безопасностью репозитория, включая поддержку MFA. Другие будущие инициативы включают внедрение Sigstore, оценку Trusted Publishing и контроль доступа к пространствам имен.

Обеспечение безопасности кода

Майк Макгуайр, старший менеджер по программным решениям в компании Группа обеспечения целостности программного обеспечения Synopsysсказал: «Усилия сообщества открытого исходного кода совместно с CISA в рамках этой инициативы свидетельствуют о более широкой истине, которая заключается в том, что сопровождающие и управляющие проектами с открытым исходным кодом обычно делают эффективную работу по обеспечению безопасности своего кода, актуальности и приемлемого качества.

«Нет сомнений в том, что злоумышленники воспользовались присущим нам доверием к открытому исходному коду, поэтому эти усилия должны иметь большое значение для предотвращения атак в цепочке поставок, начиная с уровня разработки проектов с открытым исходным кодом», — сказал он. .

«Однако, что бы ни было сделано в результате этих усилий, ни одно коммерческое приложение не станет более безопасным, если организации-разработчики не будут вкладывать больше средств в управление открытым исходным кодом, который они используют», — сказал Макгуайр.

“Когда более 70% коммерческих приложений имеют уязвимость с открытым исходным кодом высокого риска.а средний возраст всех уязвимостей составляет 2,8 года, становится ясно, что наибольшую озабоченность вызывает не сообщество разработчиков ПО с открытым исходным кодом, а организации, которые не в состоянии идти в ногу с различными работами по исправлениям безопасности, которые проводит сообщество». он сказал.