Küresel yazılım tedarik zincirindeki açık kaynak bağımlılıklarının karmaşık labirenti, devasa boyutlarda bir uygulama güvenlik bulmacası yarattı. İster açık kaynaklı ister kapalı olsun, bugün dünyadaki yazılımların çoğu üçüncü taraf bileşenler ve kitaplıklar üzerine kuruludur. Sonuç olarak, en küçük açık kaynak projelerinde bile savunmasız bir kod parçası, binlerce başka uygulamayı, API’yi, bulut altyapısı bileşenini ve daha fazlasını etkileyen bir domino etkisi yaratabilir.
Bu sorun, günümüzde CISO’ların en acil güvenlik endişelerinden biri haline geliyor ve bireysel kurumsal düzeyde kuruluşlar, yazılım malzeme listeleri (SBOM’ler) oluşturma, açık kaynak güvenlik yönetimi standartları oluşturma ve geliştiricilerin bunları takip etmesi için teknik korkuluklar oluşturmak.
Ancak bu çabalar, sorunu mutlaka daha sistemik bir düzeyde çözmez. Açık kaynak topluluğundaki birçok uzmana göre, tedarik zincirindeki en büyük çentiği yapmak için, açık kaynak proje yürütücülerinin kodlarını temizlemelerine yardımcı olmak için daha fazla çaba gösterilmesi gerekiyor.
Alfa-Omega Projesi’nin amacı budur. Önümüzdeki ay birinci yıl dönümünü doldurmak üzere olan Alpha-Omega, Açık Kaynak Güvenlik Vakfı (OpenSSF) ve ana kuruluşu Linux Vakfı tarafından yazılım tedarik zinciri güvenliğindeki temel sorunları ele almak için bir araya getirilen büyük resimli bir güvenlik projesidir.
bu Alfa projenin diğer tarafı, kodlarının güvenlik duruşunu yükseltmelerine yardımcı olmak için node ve jQquery gibi önemliler dahil olmak üzere daha geniş tedarik zinciri için en kritik olan açık kaynak projelerinin koruyucularıyla işbirliği yapmaya odaklanmıştır. Bunlar, OpenSSF Kritik Projelerin Güvenliğini Sağlama çalışma grubu tarafından, aşağı yönde en büyük etkiye sahip projeleri belirlemek için Open SSF Criticality Score gibi kıyaslamalardan elde edilen veriler ve uzman görüşü kullanılarak elle seçilen projelerdir.
bu Omega projenin bir tarafı, geniş çapta dağıtılan 10.000 açık kaynak projesinde kritik güvenlik açıklarını belirlemek için otomasyon ve araçları kullanarak yazılım tedarik zinciri güvenliğinin uzun kuyruğuna dönüyor. Tedarik zinciri boyunca yaygın olan en basit, en bariz kusurların düzeltilmesini artırma çabasıdır.
Başlangıçta Google ve Microsoft tarafından finanse edilen, finans devi Citi’nin ek araç zinciri ve personel desteğiyle Alpha-Omega, AWS’den ek 2,5 milyon ABD doları alarak 2022’yi tamamladı. Daha da önemlisi, proje iki yeni kritik işe alımla 2023’e hazırlanıyor: Red Hat’in eski ürün güvenlik mühendisi Yesenia Yser ve Dan Kaminsky İnsan Güvenliği Üyesi olarak bir yıllık görevini yeni bitirmiş Jonathan Leitschuh. Yser, kıdemli bir yazılım güvenlik mühendisi olarak devreye giriyor ve Leitschuh, kıdemli bir yazılım güvenlik araştırmacısı olarak açık kaynak güvenlik araştırmasını ve iyileştirmeyi otomatikleştirme konusundaki araştırmasına devam edecek.
Alpha-Omega Projesinin İlk Yılı
Bu proje, açık kaynak güvenliğindeki sistemik sorunların üstesinden gelmek için geçtiğimiz yıl OpenSSF ve Linux Foundation tarafından öncülük edilen ve fon sağlanan birkaç yüksek profilli güvenlik projesinden biridir. Kuruluşların güvenlik projelerine yönelik hızlı fon sağlama ve eyleme geçme konusundaki başarılı modelini izleyen Alpha-Omega, halihazırda bir dizi önemli cephede ilerleme kaydetmiştir.
Projenin ilk yıllık raporuna göre, proje şimdiden beş farklı açık kaynak projesiyle anlaştı: Node.js, Eclipse Foundation, Rust Foundation, jQuery ve Python Software Foundation. 2022 yılı boyunca Alpha-Omega, Rust Foundation’a 460.000 $, Eclipse Foundation’a 400.000 $ ve Node. Node söz konusu olduğunda, bu destek, Node Security Working Group’u yeniden etkinleştirmesine ve Node.js için bir güvenlik ve tehdit modeli üzerinde çalışmasına yardımcı oldu ve projenin kod tabanında 20 farklı güvenlik açığı raporunun önceliklendirilmesini teşvik etti.
Ek olarak, Alpha-Omega kısa bir süre önce, açık kaynak paketlerindeki kritik güvenlik açıklarını belirlemek için 27 farklı güvenlik analizcisini yöneten Omega Analiz Araç Zincirinin ilk sürümünü yayınladı. Proje ayrıca, güvenlik araştırmasını ve raporlamayı daha verimli hale getirmek için bir önceliklendirme portalı da dahil olmak üzere bir dizi deneysel araç yayınladı.
Proje, ikinci yıl için evin Omega tarafındaki çalışmaları hızlandırmayı planlıyor.
2023’te Proje İçin Neler Var?
Yser ve Leitschuh’un Alpha-Omega Projesi’ne eklenmesi, mevcut çabalara yalnızca daha fazla beyin gücü, zaman ve yetenek katmakla kalmayacak, aynı zamanda açık kaynak güvenliği konusunda iğneyi hareket ettirmek için bol miktarda coşku sağlayacaktır.
DevSecOps ve yazılım tedarik zinciri dünyasında derin köklere sahip olan Yser, “Açık kaynak yazılım, otomotivlerimiz, uçaklarımız, telefonlarımız, izleyicilerimiz ve hatta hizmet sistemlerimiz dahil, bugün kullanılan her ekipman parçasında bulunuyor” diyor. Red Hat’teki pozisyonunda tedarik zinciri operasyonlarının teknik lideriydi. “Projenin vizyonu, açık kaynak yazılımların güvenlik duruşunu, tedarik zinciri güvenliğini ve dünyanın dört bir yanındaki insanların yaşamlarını iyileştirmek gibi küresel bir etkiye sahip.”
Projelerin ve güvenlik açığı etkilerinin hafifletme için nasıl analiz edildiği ve önceliklendirildiği konusunda mühendislik geliştirmelerine yardımcı olmak için doğrudan Omega araç zincirini ve önceliklendirme portalını iyileştirme üzerinde çalışacak.
“Omega takım zinciri için, bu yılın hedefi, bir bakımcının veya geliştiricinin yararlanabileceği operasyonel bir sisteme sahip olmak olacaktır” diyor. “Triyaj Portalı için amaç, bir araştırmacının bir SARIF raporunu portala aktararak keşfedilen bir bulguyu öncelik sırasına koyma ve sistem içindeki araştırmasını yürütme becerisini desteklemek olacaktır. Sistem, aksi belirtilmedikçe Alpha-Omega ekibiyle sınırlı kalacaktır. , ancak açık kaynaklı yazılım sayesinde, bir araştırmacı kendi örneğini çalıştırabilir ve havuza çekme istekleri gönderebilir ve genel görevi destekleyebilir.”
Açık kaynak projelerinde düzeltmeleri ölçeklendirme ve otomatikleştirme alanında önemli ve çok taze bir deneyim getiren Leitschuh ile yakın işbirliği içinde çalışacak. Geçen yılın bursunu tam da bu sorun üzerinde çalışarak geçirdi. Amacı, orada yaptığı işe devam etmek ve öğrendiklerini, çok çeşitli açık kaynak projelerinde gizlenen en yaygın ve etkili kusurları ortadan kaldırma misyonunu ilerletmek için kullanmaktır.
“Tüm yazılım endüstrisini ayakta tutan o küçük mandalların nerede olduğunu bilemeyebiliriz” diyor. “GitHub’da 15 yıldıza sahip olan ve kimsenin bilmediği o küçük yazılım parçalarından biri olabilir, ancak tüm İnternet’i meşgul ediyor. Peki kimsenin bilmediği, ancak bir şekilde tüm için temel olan bu projeleri nasıl güvence altına alacağız? tedarik zinciri?”
Burs sırasındaki çalışmalarının, herhangi bir güvenlik açığı konusunda çok derine inmek yerine belirli bir tür güvenlik açığına bakma ve aynı kusuru birçok farklı yerde bulmanın otomatik yollarını geliştirme konusundaki nişine daha fazla odaklanmasına yardımcı olduğunu söylüyor. açık kaynak ekosisteminde. Bu, onu en yeni işine götüren Omega ahlakıyla mükemmel bir şekilde örtüşüyor.
Veri Akışı ve Kontrol analizi ve otomatik çekme talebi oluşturmadaki kusurları gidermek için otomatikleştirilmiş yöntemlerde geliştirmeleri desteklemeye devam edecektir. Ama aynı zamanda manuel işbirliği çalışmasına da devam edecek. Geçen yıl öğrendiği önemli derslerden biri, kendisinin ve Alpha-Omega ekibinin önündeki işlerin çoğunun mutlaka teknik olmadığıdır. Projelerinde bazen basit düzeltmelerin bile küresel yazılım tedarik zinciri güvenliği duruşları üzerinde nasıl büyük bir etkiye sahip olabileceğini görmelerine yardımcı olmak, bakımcılar ile ilişkiler kurmaktır.
“Teknologlar ve yazılımcılar, insan unsurunu her zaman sevmiyoruz – bizim için oturup bu şeyi algılayan bir kod satırı yazmak ve onu bir duvardan atmak, gerçek bir insanla ilişki kurmaktan daha kolay. ve onları bunun düzeltmeye değer bir şey olduğuna ikna etmeye çalışın” diyor.
Geçen yılki bir örneğin bu noktayı mükemmel bir şekilde gösterdiğini açıklıyor. Bu vakada, aşağı yönde çok fazla etkisi olan altı yıllık bir uzaktan kod yürütme kusuru olan bir YAML Ayrıştırıcısının bakımcısı ile çalıştı. Uzun bir süre Leitschuh ona bu konuda yaklaştığında, bakımcı ona “Güvenilmeyen YAML’a güvenme. Bu benim savunmasızlığım değil” dedi.
Sonunda, bakımcıyı bir sürü teknik tartışmanın olduğu bir görüntülü görüşmeye oturttuktan sonra, Leitschuh ona talep ettiği değişikliğin son derece sınırlı olduğunu ve çok büyük bir etkisi olabileceğini gösterebildi.
“Yani şimdi bu YAML Ayrıştırıcısındaki bu altı yıllık uzaktan kod yürütme güvenlik açığını düzeltmeye istekli, çünkü sonunda benim gibi biri onunla bir görüntülü görüşmede oturdu ve onu yapabileceği en küçük şeye ikna etmek için onunla bir konuşma yaptı. daha güvenli hale getirmek için yapılması gerekiyor” diyor.
Leitschuh, aşağı yönlü güvenlik açığını otomatik olarak düzeltebilirken, daha şık çözüm bunun yerine bu tartışmayı yapmaktı.
“Bu bakımcıyı ikna etmeye çalışmak için oturup bu tek parça yazılıma odaklanarak zaman harcamanın benim için değerli olduğunu düşündüm. Bu konuşmaları yapmak, tüm endüstri üzerinde çok daha geniş bir pozitif etkiye sahip olacak.” diyor. “Bu noktada sadece yere basan botlara ihtiyacın var. Oturup gerçek bir insanla ilişki kurmak için gereken zamanı harcayacak, ne hakkında konuştuğunu bilen insanlara ihtiyacın var.”