Os operadores de liderança software livre Os repositórios de pacotes (OSS), incluindo a Python Software Foundation e a Rust Foundation, definiram as ações que estão tomando para ajudar a proteger melhor o ecossistema de software de código aberto (OSS), sublinhado por uma série de falhas de OSS de alto perfil em nos últimos anos, principalmente o Log4Shell.
OSS foi tema de uma cimeira de segurança de dois dias convocado pela diretora da Agência de Segurança Cibernética e de Infraestrutura (CISA), Jen Easterly nos EUA esta semana, que reuniu fundações de OSS, repositórios de pacotes, representantes da indústria de TI em geral e agências governamentais e organizações da sociedade civil dos EUA, para explorar novas abordagens para fortalecer a segurança de OSS e realizar exercícios de guerra de mesa sobre resposta à vulnerabilidade de OSS.
“O software de código aberto é fundamental para a infraestrutura crítica da qual os americanos dependem todos os dias”, disse Easterly. “Como coordenador nacional de segurança e resiliência de infraestrutura crítica, temos orgulho de anunciar esses esforços para ajudar a proteger o ecossistema de código aberto em estreita parceria com a comunidade de código aberto e estamos entusiasmados com o trabalho que está por vir.”
“O software de código aberto é uma base de missão crítica do espaço cibernético”, acrescentou Anjana Rajan, diretora cibernética nacional assistente para segurança tecnológica. “Garantir que tenhamos um ecossistema de software de código aberto seguro e resiliente é um imperativo de segurança nacional, um facilitador da inovação tecnológica e uma personificação dos nossos valores democráticos. Como presidente da Iniciativa de Segurança de Software de Código Aberto [OS3I]a ONCD está empenhada em garantir que esta continue a ser uma prioridade para a administração Biden-Harris e elogia a liderança da CISA na convocação deste importante fórum.”
Após a conferência, a CISA também se comprometeu a trabalhar em estreita colaboração com os repositórios de pacotes para impulsionar a adoção do seu recentemente lançado Princípios para segurança do repositório de pacotesco-desenvolvido com o Fundação de segurança de código aberto (OpenSSF) Grupo de Trabalho de Proteção de Repositórios de Software e lançou um novo esforço para permitir a colaboração voluntária e o compartilhamento de dados cibernéticos com operadores de infraestrutura OSS para proteger a cadeia de suprimentos.
Algumas das iniciativas promovidas pelos repositórios de pacotes OSS incluem:
- O Fundação Ferrugem está atualmente trabalhando para trazer Infraestrutura de chave pública (PKI) para o Crates.io repositório para espelhamento e assinatura binária. Também publicou um modelo de ameaça mais detalhado para Crates.io e introduziu novas ferramentas para identificar atividades maliciosas.
- O Fundação de Software Python está atualmente integrando mais provedores para PyPI para permitir publicação confiável e sem credenciais e expandir o suporte de GitHub incluir GitLabGoogle Cloud e Estado Ativo. Também estão em andamento trabalhos para fornecer uma API e outras ferramentas para relatar e mitigar malware, com o objetivo de aumentar a capacidade do PyPI de responder ao problema de forma rápida e eficaz. Além disso, o ecossistema está finalizando o suporte de índice para atestados digitais, PEP 740, que permitirá que atestados assinados digitalmente e seus metadados de verificação sejam carregados em repositórios de pacotes Python.
- Empacotador e Compositor trouxe recentemente a verificação de bancos de dados de vulnerabilidades e outras medidas para impedir que invasores assumam pacotes sem autorização, e realizará mais trabalhos em linha com a estrutura de Princípios para Segurança de Repositórios de Pacotes e conduzirá uma auditoria aprofundada das bases de código existentes, no final de 2024.
- Npmque já exige que aqueles que mantêm projetos de alto impacto se inscrevam na autenticação multifator (MFA), introduziu recentemente ferramentas que permitem gerar automaticamente a origem do pacote e listas de materiais de software para aprimorar a capacidade dos usuários de rastrear e verificar a origem de suas dependências.
- Sonatipo Maven Central tem, desde 2021, verificado automaticamente os repositórios preparados em busca de vulnerabilidades e reportado aos seus desenvolvedores. No futuro, está lançando um portal de publicação com segurança aprimorada de repositório, incluindo suporte para MFA. Outras iniciativas futuras incluem implementação de Sigstore, avaliação de Trusted Publishing e controle de acesso em namespaces.
Mantendo o código seguro
Mike McGuire, gerente sênior de soluções de software da Grupo de integridade de software Synopsysdisse: “Os esforços da comunidade de código aberto, em conjunto com a CISA como parte desta iniciativa, são indicativos de uma verdade mais ampla, que é que os mantenedores e administradores de projetos de código aberto geralmente fazem um trabalho eficaz em manter seu código seguro, atualizado até o momento e de qualidade aceitável.
“Não há dúvida de que os agentes de ameaças têm aproveitado a confiança inerente que temos no código aberto, portanto, esses esforços devem percorrer um longo caminho para evitar que os ataques à cadeia de abastecimento comecem no nível do desenvolvimento de projetos de código aberto”, disse ele. .
“No entanto, não importa o que seja feito devido a estes exercícios, nenhuma aplicação comercial será mais segura se as organizações de desenvolvimento não investirem mais na gestão do código aberto que utilizam”, disse McGuire.
“Quando mais de 70% dos aplicativos comerciais têm uma vulnerabilidade de código aberto de alto riscoe a idade média de todas as vulnerabilidades é de 2,8 anos, fica claro que a maior preocupação não é com a comunidade de código aberto, mas com as organizações que não conseguem se manter atualizadas com os diversos trabalhos de patches de segurança que a comunidade está fazendo”, ele disse.