Les référentiels open source - tels que Python's PyPI, le référentiel Maven Java et le Node Package Manager (npm) pour JavaScript - ont généralement une équipe réduite d'ingénieurs et de bénévoles pour gérer et sécuriser l'infrastructure. Le volume d'utilisateurs et de projets malveillants créés chaque jour sur ces plates-formes est rapide dépassant la capacité des équipes d'examen de la sécurité à suivre.
L'accent mis sur la sécurité des référentiels reflète l'attention croissante que la chaîne d'approvisionnement logicielle a suscitée de la part des attaquants, déclare Tim Mackey, responsable de la stratégie de risque de la chaîne d'approvisionnement logicielle chez la société d'intégrité logicielle Synopsys.
"Si je suis un attaquant et que je veux aller compromettre, par exemple, une application JavaScript ou une application Python à grande échelle, alors la meilleure façon pour moi de le faire est de prendre le contrôle d'une manière ou d'une autre sur des éléments significatifs du référentiel, " il dit. "Donc, si je suis une organisation de développement qui consomme du code Python, du code Node ou du code Java... je vais avoir un niveau de confiance implicite que le référentiel va faire la bonne chose... et qu'il n'y a pas d'intrinsèque des voies d'attaque ou des façons dont la confiance peut être brisée.
Plusieurs efforts techniques sont en cours pour réduire le travail des mainteneurs et du personnel de l'infrastructure des référentiels. Cependant, la résolution de ce défi - empêcher les packages et les utilisateurs malveillants d'accéder à l'application logicielle - nécessite plus que de la technologie.
Mettez la technologie sur le boîtier
Le tableau de bord OpenSSF (hébergé par l'Open Software Security Foundation), par exemple, exécute des vérifications automatisées par rapport au code des développeurs et aux projets open source pour aider à évaluer le risque de responsables malveillants, de compromission du code source ou du système de construction et de packages malveillants.
"Il est préférable d'être vraiment délibéré sur ce que vous reliez à votre chaîne d'approvisionnement - vraiment, la meilleure attaque ici est une bonne défense", déclare Zack Newman, chercheur principal chez Chainguard. "Développer une politique au sein d'une organisation pour examiner des signaux spécifiques dans le tableau de bord lorsque nous ajoutons des dépendances, je pense, va un long chemin."
Une autre technologie, sigstore, permet aux développeurs et aux mainteneurs de signer facilement son code pour permettre à l'utilisateur final d'avoir confiance dans la provenance du code. Le projet facilite la signature numérique du code source car les développeurs individuels n'ont pas à gérer leur propre infrastructure cryptographique. Python a un package pour aider les développeurs à générer et vérifier les signatures de code à l'aide de sigstore, et GitHub travaille également sur un plan pour les développeurs qui utilisent npm pour adopter sigstoreAinsi.
Ajoutez plus de personnes et de processus également
Quelle que soit la qualité des outils, l'essentiel est le suivant : ce dont les référentiels de logiciels ont vraiment besoin, c'est de plus de financement et de plus de professionnels de la sécurité dans leur personnel.
"Vous entendrez des suggestions pour mettre des outils automatisés dans le pipeline, de sorte que nous ayons juste un scanner pour vérifier tous les packages au fur et à mesure qu'ils sont téléchargés pour détecter les logiciels malveillants", déclare Newman. "Cela semble être une excellente idée, mais ce n'est pas tout à fait la solution à laquelle vous pensez, car nous rencontrons des problèmes de faux positifs, qui doivent ensuite être examinés manuellement, ce qui impose une énorme surcharge opérationnelle - et nous sommes donc de retour à carré un.
L'accent mis sur la sécurisation de la chaîne d'approvisionnement des logiciels a entraîné une augmentation des investissements de l'industrie dans l'écosystème open source. Projet Alpha-Omega d'OpenSSF, qui vise à sécuriser les projets les plus critiques, dispose désormais d'un développeur de sécurité en résidence pour la Python Software Foundation. Amazon Web Services a également fait un don à PyPI pour créer un poste d'ingénieur sûreté et sécurité.
Alors que les logiciels open source sont devenus clairement reconnus comme une infrastructure essentielle, les investissements publics ont également augmenté. En mars, par exemple, l'administration Biden-Harris a annoncé sa stratégie nationale de cybersécurité, qui cherche à tenir les entreprises responsables des produits logiciels, tandis que précédentes réunions et conseils de la Maison Blanche vise à accroître le soutien à la sécurisation des projets open source.
Plus d'organismes, pas nécessairement plus de technologie, résoudront de nombreux problèmes à court terme, déclare Mackey de Synopsys.
"L'une des choses que j'aime dans le modèle Python, c'est qu'ils ont ce cycle de révision humaine", dit-il. "Et cela, dans une certaine mesure, va limiter l'étendue des dommages pour certaines de ces choses."
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoAiStream. Intelligence des données Web3. Connaissance Amplifiée. Accéder ici.
- Frapper l'avenir avec Adryenn Ashley. Accéder ici.
- Achetez et vendez des actions de sociétés PRE-IPO avec PREIPO®. Accéder ici.
- La source: https://www.darkreading.com/dr-tech/2-lenses-examining-safety-open-source-software
