ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), paket depolarının güvenliğini sağlamak için yeni bir çerçeve yayınlamak üzere Açık Kaynak Güvenlik Vakfı (OpenSSF) Yazılım Depolarının Güvenliğini Sağlama Çalışma Grubu ile ortaklık kurduğunu duyurdu.
Aradı Paket Havuzu Güvenliği İlkeleriÇerçeve, paket yöneticileri için bir dizi temel kural oluşturmayı ve açık kaynaklı yazılım ekosistemlerini daha da güçlendirmeyi amaçlıyor.
OpenSSF, “Paket depoları, bu tür saldırıların önlenmesine veya hafifletilmesine yardımcı olmak için açık kaynak ekosisteminde kritik bir noktadadır.” dedi.
“Belgelenmiş bir hesap kurtarma politikasına sahip olmak gibi basit eylemler bile güçlü güvenlik iyileştirmelerine yol açabilir. Aynı zamanda yeteneklerin, çoğu kar amacı gütmeyen kuruluşlar tarafından işletilen paket depolarının kaynak kısıtlamalarıyla dengelenmesi gerekir.”
Özellikle ilkeler, kimlik doğrulama, yetkilendirme, genel yetenekler ve komut satırı arayüzü (CLI) araçları olmak üzere dört kategorideki paket depoları için dört güvenlik olgunluk düzeyi ortaya koyuyor:
- Seviye 0 – Çok az güvenlik olgunluğuna sahip olmak.
- Seviye 1 – Çok faktörlü kimlik doğrulama (MFA) gibi temel güvenlik olgunluğuna sahip olmak ve güvenlik araştırmacılarının güvenlik açıklarını raporlamasına olanak sağlamak
- Seviye 2 – Kritik paketler için MFA gerektirme ve kullanıcıları bilinen güvenlik açıklarına karşı uyarma gibi eylemleri içeren orta düzeyde güvenliğe sahip olmak
- 3. seviye – Tüm bakımcılar için MFA gerektiren ve paketler için derleme kaynağını destekleyen gelişmiş güvenliğe sahip olmak
Çerçeve yazarları Jack Cable ve Zach Steindler, tüm paket yönetimi ekosistemlerinin en az Seviye 1’e doğru çalışması gerektiğini belirtiyor.
Nihai amaç, paket depolarının güvenlik olgunluklarını kendi kendine değerlendirmelerine ve zaman içinde güvenlik iyileştirmeleri şeklinde korkuluklarını güçlendirecek bir plan oluşturmalarına olanak sağlamaktır.
OpenSSF, “Güvenlik tehditleri ve bu tehditlere yönelik güvenlik yetenekleri zamanla değişir.” dedi. “Amacımız, paket depolarının, ekosistemlerinin güvenliğini güçlendirmeye en iyi şekilde yardımcı olacak güvenlik özelliklerini daha hızlı bir şekilde sunmalarına yardımcı olmaktır.”
Bu gelişme, ABD Sağlık ve İnsani Hizmetler Bakanlığı Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi’nin (HC3), hasta kayıtlarını, envanter yönetimini, reçeteleri ve faturalandırmayı sürdürmek için açık kaynaklı yazılım kullanılmasının bir sonucu olarak ortaya çıkan güvenlik riskleri konusunda uyarmasının ardından geldi.
Aralık 2023’te yayınlanan bir tehdit özetinde “Açık kaynaklı yazılım, modern yazılım geliştirmenin temeli olsa da, aynı zamanda genellikle yazılım tedarik zincirindeki en zayıf halkadır” denildi.