امنیت زنجیره تامین نرم افزار به تصویر بزرگتری نیاز دارد

The intricate labyrinth of open source dependencies across the global software supply chain has created an application security puzzle of mammoth proportions. Whether open source or closed, most of the world’s software today is built upon third-party components and libraries. Consequently, one piece of vulnerable code in even the smallest of open source projects can have a domino effect that impacts thousands of other applications, APIs, cloud infrastructure components, and more.

این موضوع امروزه به یکی از مبرم‌ترین نگرانی‌های امنیتی CISO تبدیل شده است و در سطح سازمانی فردی، سازمان‌ها سخت در تلاش هستند تا با پروژه‌هایی مانند ساخت و ساز با آن مقابله کنند. صورتحساب های مواد نرم افزاری (SBOMs)، ایجاد استانداردهای مدیریت امنیت منبع باز، و ایجاد نرده های محافظ فنی برای توسعه دهندگان آنها را دنبال کنید.

اما این تلاش ها لزوماً مشکل را در سطح سیستماتیک تر حل نمی کند. به گفته بسیاری از کارشناسان جامعه منبع باز، برای ایجاد بزرگترین شکست در زنجیره تامین پایین دستی، باید تلاش بیشتری برای کمک به نگهبانان پروژه منبع باز انجام شود. کد آنها را پاک کنید.

این هدف از پروژه آلفا امگا. About to hit its one-year anniversary next month, Alpha-Omega is a big-picture security project put together by the Open Source Security Foundation (OpenSSF) and its parent organization the Linux Foundation to address the fundamental issues in software supply chain security.

La آلفا side of the project is focused on collaborating with the maintainers of the open source projects most critical to the broader supply chain — including notables like node and jQquery — to help them level up the security posture of their code. These are projects hand-selected by the OpenSSF Securing Critical Projects working group using expert opinion and data from benchmarks like the Open SSF Criticality Score to determine the projects with the biggest downstream impact.

La امگا side of the project turns to the long-tail of software supply chain security, using automation and tooling to identify critical security vulnerabilities across a range of 10,000 widely deployed open source projects. It’s an effort to scale up the remediation of the lowest-hanging, most obvious flaws that are pervasive across the supply chain.

Funded initially by Google and Microsoft, with additional toolchain and personnel support from financial giant Citi, Alpha-Omega wrapped up 2022 by snagging an additional $2.5 million from AWS. More crucially, the project is preparing for 2023 with two new critical hires —Yesenia Yser, formerly a product security engineer for Red Hat and Jonathan Leitschuh, who just finished up his یک سال به عنوان اولین همکار دن کامینسکی for Human Security. Yser steps in as a senior software security engineer and Leitschuh will continue his research on خودکارسازی تحقیقات امنیتی منبع باز و اصلاح به عنوان محقق ارشد امنیت نرم افزار.

سال اول پروژه آلفا امگا

این پروژه یکی از چندین پروژه امنیتی پرمخاطب است که در راس آن قرار گرفته است توسط OpenSSF و Linux Foundation جمع آوری شده است در سال گذشته برای مقابله با مسائل سیستمی در امنیت منبع باز. با پیروی از مدل موفق سازمان‌ها برای تأمین مالی سریع و اقدام در پروژه‌های امنیتی، Alpha-Omega قبلاً در تعدادی از جبهه‌های مهم پیشرفت کرده است.

According to the project’s first annual report, the project has already engaged with five different open source projects: Node.js, the Eclipse Foundation, the Rust Foundation, jQuery, and the Python Software Foundation. Over the course of 2022, Alpha-Omega doled out $1.5 million in grants to different projects, including $460,000 to Rust Foundation, $400,000 to Eclipse Foundation, and $300,000 to Node. In the case of Node, that support helped it reactivate the Node Security Working Group and get it working on a security and threat model for Node.js, and it spurred on the triaging of 20 different vulnerability reports across the project’s code base.

علاوه بر این، Alpha-Omega اخیراً نسخه اولیه زنجیره ابزار تحلیل امگا را منتشر کرده است که 27 تحلیلگر امنیتی مختلف را برای شناسایی آسیب‌پذیری‌های مهم در بسته‌های منبع باز هماهنگ می‌کند. این پروژه همچنین تعدادی ابزار آزمایشی، از جمله یک پورتال تریاژ را برای کارآمدتر کردن تحقیقات امنیتی و گزارش‌دهی منتشر کرد.

برای سال دوم، این پروژه قصد دارد کار را در قسمت Omega خانه تسریع بخشد.

آنچه 2023 برای این پروژه در نظر گرفته است

افزودن Yser و Leitschuh به پروژه آلفا-امگا نه تنها نیروی مغز، زمان و استعداد بیشتری را در تلاش‌های موجود القا می‌کند، بلکه اشتیاق فراوانی را برای حرکت دادن سوزن بر روی امنیت منبع باز ایجاد می‌کند.

“Open source software is in every piece of equipment that is used today, from our automotives, airplanes, phones, trackers, and even utility systems,” says Yser, who has deep roots in the DevSecOps and software supply chain world. In her position at Red Hat she was the supply chain ops technical lead. “The vision for the project has a global impact of improving the security posture of open source software, supply chain security, and the lives of folks around the world.”

She’ll be working directly on improving the Omega toolchain and the triage portal to help engineer improvements in how projects and vulnerability impacts are analyzed and prioritized for mitigation.

او می‌گوید: «برای زنجیره ابزار Omega، هدف امسال داشتن یک سیستم عملیاتی‌شده است که یک نگهدارنده یا توسعه‌دهنده بتواند از آن استفاده کند». برای پورتال تریاژ، هدف پشتیبانی از توانایی یک محقق برای تریاژ یک یافته کشف شده از طریق وارد کردن گزارش SARIF به پورتال و انجام تحقیقات آنها در سیستم خواهد بود. این سیستم تا زمانی که در غیر این صورت ذکر نشده باشد، محدود به تیم آلفا-امگا خواهد بود، اما به لطف نرم افزار منبع باز، یک محقق می تواند نمونه خود را اجرا کند و درخواست های کشش را به مخزن ارسال کند و از ماموریت کلی پشتیبانی کند.

She will be working in close collaboration with Leitschuh, who brings significant and very fresh experience to bear in the area of scaling and automating fixes across open source projects. He spent last year’s fellowship working on this exact problem. His goal is to continue the work he did there and use what he learned to further his mission of rooting out the most prevalent and impactful flaws lurking across a wide swath of open source projects.

“We may not know where those little pegs are that are holding up the entire software industry exist,” he says. “It could be one of those tiny little pieces of software that has 15 stars on GitHub that nobody knows, but it’s holding up the entire Internet. So how do we secure those projects that no one knows about, but is somehow fundamental to the entire supply chain?”

He says his work during the fellowship helped him further home in on his niche of not necessarily going very deep on any one security vulnerability, but instead looking at a certain type of vulnerability and developing automated ways at finding that same flaw in lots of different places across the open source ecosystem. This dovetails perfectly with the Omega ethos, which is what led him to his newest gig.

He’ll keep supporting refinements on روش های خودکار for running down flaws in Data Flow and Control analysis and auto pull request generation. But he’s also going to be continuing the very manual work of collaboration. One of the important lessons he learned last year is that a lot of the work ahead of him and his Alpha-Omega team is not necessarily technical. It’s in building relationships with maintainers to help them see how sometimes even simple fixes to their projects can have a huge impact on global software supply chain security postures.

«تکنولوژیست‌ها و نرم‌افزارها، ما همیشه عنصر انسانی را دوست نداریم - برای ما راحت‌تر است که بنشینیم و یک خط کد بنویسیم که این چیز را تشخیص دهد و آن را روی دیوار پرتاب کند تا اینکه با یک شخص واقعی درگیر شویم. و سعی کنید آنها را متقاعد کنید که این چیزی است که ارزش اصلاح دارد.

He explains how one instance last year illustrates this point perfectly. In this case he worked with a maintainer of a YAML Parser that had a six-year-old remote code execution flaw that had a lot of downstream impact. For a long time when Leitschuh approached him about it, the maintainer told him, “Don’t trust untrusted YAML. This is not my vulnerability.”

سرانجام، پس از نشستن نگهدارنده در یک تماس ویدیویی با بحث های فنی فراوان، لایتشوه توانست به او نشان دهد که تغییری که او درخواست کرده بود بسیار محدود بوده و می تواند تأثیر زیادی داشته باشد.

“So he’s now willing to fix this six-year-old remote code execution vulnerability in this YAML Parser because someone like me sat down with him on a video call, finally, and had a conversation with him to convince him the minimal thing that he needed to do to make it more secure,” he says.

در حالی که Leitschuh می‌توانست آسیب‌پذیری را به‌طور خودکار رفع کند، اما راه حل ظریف‌تر این بود که به جای آن این بحث را انجام دهیم.

“I thought it was worth it for me to sit down and spend the time focusing on this one piece of software to try to convince this maintainer. Having those conversations are what’s going to have a wider positive impact writ large on the entire industry,” he says. “At that point you just need boots on the ground. You need people that know what they’re talking about to sit down and spend time that is required to engage with an actual person.”

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
• منبع: https://www.darkreading.com/dr-tech/software-supply-chain-security-needs-bigger-picture