2020’nin ardından Rus bilgisayar korsanlarının kusurlu güncellemeleri yaygın olarak kullanılan bir BT yönetim platformuna kaydırdığı SolarWinds siber casusluk kampanyası, bir dizi başka yazılım tedarik zinciri saldırısı, yazılım gözetim zincirlerini acilen kilitleme ihtiyacını göstermeye devam etti. Ve bu sorun, projelerin doğası gereği merkezi olmayan ve genellikle geçici çabaların olduğu açık kaynakta özellikle acildir. GitHub’ın sahibi olduğu ünlü “npm” kayıt defterinden yaygın olarak indirilen JavaScript yazılım paketlerine yönelik bir dizi endişe verici tavizden sonra, şirket bu hafta açık kaynak güvenliği için genişletilmiş savunmalar sunmak için bir plan hazırladı.
Microsoft’un sahibi olduğu GitHub, Pazartesi günü, kod imzalama platformu Sigstore’u kullanarak npm yazılım paketleri için bir tür dijital mum mühür olan kod imzalamayı desteklemeyi planladığını duyurdu. Araç, açık kaynak sağlayıcıların oluşturdukları kodun, dünya çapında insanlar tarafından gerçekten indirilen yazılım paketlerinde biten kodla aynı olduğunu doğrulamasını çok daha kolay hale getirmek için sektörler arası işbirliğinden doğdu.
GitHub’ın ürün yönetimi direktörü Justin Hutchings, “Çoğu npm paketi açık kaynak olsa da, şu anda npm’deki bir paketin yayınlanan kaynak koddan oluşturulacağının garantisi yok” diyor. “Tedarik zinciri saldırıları artıyor ve yazılımın nereden geldiğini ve nasıl oluşturulduğunu doğrulayan açık kaynak paketlerine imzalı yapı bilgileri eklemek, saldırı yüzeyini azaltmanın harika bir yolu.”
Başka bir deyişle, her şey kriptografik olarak doğrulanmış ve şeffaf bir telefon oyunu yaratmakla ilgilidir.
Sigstore’u birlikte geliştiren Chainguard’ın CEO’su Dan Lorenc, GitHub’ın açık kaynak ekosisteminin tek bileşeni olmamasına rağmen, topluluk için kesinlikle çok önemli bir şehir meydanı olduğunu vurguluyor, çünkü projelerin büyük çoğunluğunun bunları depoladığı ve yayınladığı yer. kaynak kodu. Geliştiriciler, açık kaynaklı uygulamaları veya araçları gerçekten indirmek istediklerinde, genellikle bir paket yöneticisine giderler.
“Kaynak kodunu doğrudan yüklemezsiniz, genellikle bunun derlenmiş bir biçimini kurarsınız, bu nedenle kaynak kod ile paketin oluşturulması arasında bir şeyler olmuştur. Ve şimdiye kadar, tüm bu adım açık kaynak kodlu bir kara kutuydu” diye açıklıyor Lorenc. “Kodu görüyorsunuz ve ardından gidip paketi indiriyorsunuz, ancak paketin o koddan geldiğini veya aynı kişinin olaya karıştığını kanıtlayan hiçbir şey yok, yani GitHub’ın düzelttiği şey bu.”
Sigstore’u paket yöneticilerine sunarak, yazılım yolculuğunun her aşamasında çok daha fazla şeffaflık olur ve Sigstore araçları, yazılım tedarik zinciri boyunca hareket ederken geliştiricilerin kriptografik kontrolleri ve gereksinimleri yönetmesine yardımcı olur. Lorenc, pek çok insanın bu bütünlük kontrollerinin henüz uygulanmadığını ve açık kaynak ekosisteminin çoğunun bu kadar uzun süredir kör güvene güvendiğini duyduğunda şok olduğunu söylüyor. Mayıs 2021’de Biden Beyaz Saray, özellikle yazılım tedarik zinciri güvenliğini ele alan bir yürütme emri yayınladı.