Aralarında Python Software Foundation ve Rust Foundation'ın da bulunduğu önde gelen açık kaynak yazılım (OSS) paket havuzlarının operatörleri, açık kaynak yazılım (OSS) ekosisteminin daha iyi güvence altına alınmasına ve korunmasına yardımcı olmak için gerçekleştirdikleri eylemleri bir dizi belgeyle vurguladılar. Geçtiğimiz birkaç yıldaki yüksek profilli OSS kusurlarının en önemlisi Log4Shell'di.
OSS, Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) direktörü Jen Easterly tarafından bu hafta ABD'de düzenlenen ve OSS temellerini, paket depolarını, daha geniş BT endüstrisinden temsilcileri ve ABD hükümet kurumlarını bir araya getiren iki günlük bir güvenlik zirvesinin konusuydu. ve sivil toplum kuruluşları, OSS güvenliğini güçlendirmek için yeni yaklaşımlar keşfetmek ve OSS'nin güvenlik açığına müdahale konusunda masa üstü savaş oyunu tatbikatları yürütmek.
Easterly, “Açık Kaynak Yazılım, Amerikalıların her gün güvendiği kritik altyapının temelini oluşturuyor” dedi. “Kritik altyapı güvenliği ve dayanıklılığının ulusal koordinatörü olarak, açık kaynak topluluğuyla yakın ortaklık içinde açık kaynak ekosisteminin güvenliğini sağlamaya yönelik bu çabaları duyurmaktan gurur duyuyoruz ve gelecek çalışmalar için heyecan duyuyoruz.”
Teknoloji güvenliğinden sorumlu ulusal siber direktör yardımcısı Anjana Rajan, “Açık kaynak yazılım, siber uzayın görev açısından kritik bir temelidir” diye ekledi. “Güvenli ve dayanıklı bir açık kaynak yazılım ekosistemine sahip olmamızı sağlamak bir ulusal güvenlik zorunluluğu, teknoloji yeniliğini mümkün kılan bir unsur ve demokratik değerlerimizin somutlaşmış halidir. Açık Kaynak Yazılım Güvenliği Girişiminin başkanı olarak [OS3I]ONCD, bunun Biden-Harris Yönetimi için bir öncelik olarak kalmasını sağlamaya kararlıdır ve CISA'nın bu önemli forumu düzenlemedeki liderliğini övmektedir.”
Konferansın ardından CISA, Açık Kaynak Güvenliği Vakfı'nın (OpenSSF'nin) Yazılım Depolarının Güvenliğini Sağlama Çalışma Grubu ile birlikte geliştirilen ve yakın zamanda başlatılan Paket Deposu Güvenliği İlkeleri'nin benimsenmesini sağlamak için paket depolarıyla yakın çalışma taahhüdünde bulundu ve bir Tedarik zincirini korumak için OSS altyapı operatörleriyle gönüllü işbirliğini ve siber veri paylaşımını mümkün kılacak yeni bir çaba.
OSS paket depoları tarafından geliştirilen girişimlerden bazıları şunlardır:
- Rust Vakfı şu anda yansıtma ve ikili imzalama için Crates.io deposuna Genel Anahtar Altyapısını (PKI) getirmek için çalışıyor. Ayrıca Crates.io için daha ayrıntılı bir tehdit modeli yayınladı ve kötü amaçlı etkinlikleri tanımlamak için yeni araçlar tanıttı.
- Python Yazılım Vakfı şu anda güvenilir, kimlik bilgisi gerektirmeyen yayınlamayı etkinleştirmek ve GitHub desteğini GitLab, Google Cloud ve ActiveState'i içerecek şekilde genişletmek için daha fazla sağlayıcıyı PyPI'ye dahil ediyor. PyPI'nin soruna hızlı ve etkili bir şekilde yanıt verme yeteneğini artırmak amacıyla, kötü amaçlı yazılımları raporlamak ve azaltmak için bir API ve diğer araçları sağlama çalışmaları da devam etmektedir. Ek olarak ekosistem, dijital imzalı kanıtlamaların ve bunların doğrulama meta verilerinin Python paket depolarına yüklenmesini sağlayacak PEP 740 adlı dijital kanıtlara yönelik dizin desteğini sonlandırıyor.
- Packagist ve Composer yakın zamanda güvenlik açığı veritabanı taraması ve saldırganların izinsiz paketleri ele geçirmesini engellemek için ek önlemler getirdiler ve daha sonra Paket Deposu Güvenliği Çerçevesi İlkeleri doğrultusunda daha fazla çalışma gerçekleştirecek ve mevcut kod tabanlarının derinlemesine bir denetimini gerçekleştirecekler. 2024'te.
- Halihazırda yüksek etkili projeler yürütenlerin çok faktörlü kimlik doğrulamaya (MFA) kaydolmasını gerektiren Npm, yakın zamanda kullanıcıların paket kaynağını izleme ve doğrulama yeteneğini geliştirmek için otomatik olarak paket kaynağı ve yazılım malzeme listeleri oluşturmalarına olanak tanıyan araçları tanıttı. onların bağımlılıkları.
- Sonatype'nin Maven Central'ı, 2021'den bu yana, aşamalı depoları güvenlik açıklarına karşı otomatik olarak tarıyor ve geliştiricilerine rapor ediyor. İleriye dönük olarak, MFA desteği de dahil olmak üzere gelişmiş veri havuzu güvenliğine sahip bir yayınlama portalı başlatıyor. Gelecekteki diğer girişimler arasında Sigstore uygulaması, Güvenilir Yayıncılık değerlendirmesi ve ad alanlarına erişim kontrolü yer alıyor.
Kodu güvende tutmak
Synopsys Software Integrity Group'un kıdemli yazılım çözümleri yöneticisi Mike McGuire şunları söyledi: “Açık kaynak topluluğunun bu girişimin bir parçası olarak CISA ile uyum içindeki çabaları, daha geniş bir gerçeğin göstergesidir; açık kaynak proje sahipleri ve görevliler genellikle kodlarını güvenli, güncel ve kabul edilebilir kalitede tutmak konusunda etkili bir iş çıkarırlar.
“Tehdit aktörlerinin açık kaynağa duyduğumuz güvenden yararlandığına şüphe yok, bu nedenle bu çabalar, tedarik zinciri saldırılarının açık kaynak proje geliştirme düzeyinde başlamasını önlemede uzun bir yol kat etmelidir” dedi. .
McGuire, “Ancak, bu uygulamalar nedeniyle ne yapılırsa yapılsın, geliştirme organizasyonları, yararlandıkları açık kaynağın yönetimine daha fazla yatırım yapmazlarsa hiçbir ticari uygulama daha güvenli hale getirilemez” dedi.
“Ticari uygulamaların %70'inden fazlası yüksek riskli açık kaynak güvenlik açığına sahip olduğunda ve tüm güvenlik açıklarının ortalama yaşı 2,8 olduğunda, en büyük endişenin açık kaynak topluluğuyla değil, kurumların bu güvenlik açığını korumada başarısız olmasıyla ilgili olduğu açıktır. Topluluğun yaptığı çeşitli güvenlik düzeltme eki çalışmalarıyla güncel” dedi.