The intricate labyrinth of open source dependencies across the global software supply chain has created an application security puzzle of mammoth proportions. Whether open source or closed, most of the world’s software today is built upon third-party components and libraries. Consequently, one piece of vulnerable code in even the smallest of open source projects can have a domino effect that impacts thousands of other applications, APIs, cloud infrastructure components, and more.
این موضوع امروزه به یکی از مبرمترین نگرانیهای امنیتی CISO تبدیل شده است و در سطح سازمانی فردی، سازمانها سخت در تلاش هستند تا با پروژههایی مانند ساخت و ساز با آن مقابله کنند. صورتحساب های مواد نرم افزاری (SBOMs)، ایجاد استانداردهای مدیریت امنیت منبع باز، و ایجاد نرده های محافظ فنی برای توسعه دهندگان آنها را دنبال کنید.
اما این تلاش ها لزوماً مشکل را در سطح سیستماتیک تر حل نمی کند. به گفته بسیاری از کارشناسان جامعه منبع باز، برای ایجاد بزرگترین شکست در زنجیره تامین پایین دستی، باید تلاش بیشتری برای کمک به نگهبانان پروژه منبع باز انجام شود. کد آنها را پاک کنید.
این هدف از پروژه آلفا امگا. About to hit its one-year anniversary next month, Alpha-Omega is a big-picture security project put together by the Open Source Security Foundation (OpenSSF) and its parent organization the Linux Foundation to address the fundamental issues in software supply chain security.
La آلفا side of the project is focused on collaborating with the maintainers of the open source projects most critical to the broader supply chain — including notables like node and jQquery — to help them level up the security posture of their code. These are projects hand-selected by the OpenSSF Securing Critical Projects working group using expert opinion and data from benchmarks like the Open SSF Criticality Score to determine the projects with the biggest downstream impact.
La امگا side of the project turns to the long-tail of software supply chain security, using automation and tooling to identify critical security vulnerabilities across a range of 10,000 widely deployed open source projects. It’s an effort to scale up the remediation of the lowest-hanging, most obvious flaws that are pervasive across the supply chain.
Funded initially by Google and Microsoft, with additional toolchain and personnel support from financial giant Citi, Alpha-Omega wrapped up 2022 by snagging an additional $2.5 million from AWS. More crucially, the project is preparing for 2023 with two new critical hires —Yesenia Yser, formerly a product security engineer for Red Hat and Jonathan Leitschuh, who just finished up his یک سال به عنوان اولین همکار دن کامینسکی for Human Security. Yser steps in as a senior software security engineer and Leitschuh will continue his research on خودکارسازی تحقیقات امنیتی منبع باز و اصلاح به عنوان محقق ارشد امنیت نرم افزار.
سال اول پروژه آلفا امگا
این پروژه یکی از چندین پروژه امنیتی پرمخاطب است که در راس آن قرار گرفته است توسط OpenSSF و Linux Foundation جمع آوری شده است در سال گذشته برای مقابله با مسائل سیستمی در امنیت منبع باز. با پیروی از مدل موفق سازمانها برای تأمین مالی سریع و اقدام در پروژههای امنیتی، Alpha-Omega قبلاً در تعدادی از جبهههای مهم پیشرفت کرده است.
According to the project’s first annual report, the project has already engaged with five different open source projects: Node.js, the Eclipse Foundation, the Rust Foundation, jQuery, and the Python Software Foundation. Over the course of 2022, Alpha-Omega doled out $1.5 million in grants to different projects, including $460,000 to Rust Foundation, $400,000 to Eclipse Foundation, and $300,000 to Node. In the case of Node, that support helped it reactivate the Node Security Working Group and get it working on a security and threat model for Node.js, and it spurred on the triaging of 20 different vulnerability reports across the project’s code base.
علاوه بر این، Alpha-Omega اخیراً نسخه اولیه زنجیره ابزار تحلیل امگا را منتشر کرده است که 27 تحلیلگر امنیتی مختلف را برای شناسایی آسیبپذیریهای مهم در بستههای منبع باز هماهنگ میکند. این پروژه همچنین تعدادی ابزار آزمایشی، از جمله یک پورتال تریاژ را برای کارآمدتر کردن تحقیقات امنیتی و گزارشدهی منتشر کرد.
برای سال دوم، این پروژه قصد دارد کار را در قسمت Omega خانه تسریع بخشد.
آنچه 2023 برای این پروژه در نظر گرفته است
افزودن Yser و Leitschuh به پروژه آلفا-امگا نه تنها نیروی مغز، زمان و استعداد بیشتری را در تلاشهای موجود القا میکند، بلکه اشتیاق فراوانی را برای حرکت دادن سوزن بر روی امنیت منبع باز ایجاد میکند.
“Open source software is in every piece of equipment that is used today, from our automotives, airplanes, phones, trackers, and even utility systems,” says Yser, who has deep roots in the DevSecOps and software supply chain world. In her position at Red Hat she was the supply chain ops technical lead. “The vision for the project has a global impact of improving the security posture of open source software, supply chain security, and the lives of folks around the world.”
She’ll be working directly on improving the Omega toolchain and the triage portal to help engineer improvements in how projects and vulnerability impacts are analyzed and prioritized for mitigation.
او میگوید: «برای زنجیره ابزار Omega، هدف امسال داشتن یک سیستم عملیاتیشده است که یک نگهدارنده یا توسعهدهنده بتواند از آن استفاده کند». برای پورتال تریاژ، هدف پشتیبانی از توانایی یک محقق برای تریاژ یک یافته کشف شده از طریق وارد کردن گزارش SARIF به پورتال و انجام تحقیقات آنها در سیستم خواهد بود. این سیستم تا زمانی که در غیر این صورت ذکر نشده باشد، محدود به تیم آلفا-امگا خواهد بود، اما به لطف نرم افزار منبع باز، یک محقق می تواند نمونه خود را اجرا کند و درخواست های کشش را به مخزن ارسال کند و از ماموریت کلی پشتیبانی کند.
She will be working in close collaboration with Leitschuh, who brings significant and very fresh experience to bear in the area of scaling and automating fixes across open source projects. He spent last year’s fellowship working on this exact problem. His goal is to continue the work he did there and use what he learned to further his mission of rooting out the most prevalent and impactful flaws lurking across a wide swath of open source projects.
“We may not know where those little pegs are that are holding up the entire software industry exist,” he says. “It could be one of those tiny little pieces of software that has 15 stars on GitHub that nobody knows, but it’s holding up the entire Internet. So how do we secure those projects that no one knows about, but is somehow fundamental to the entire supply chain?”
He says his work during the fellowship helped him further home in on his niche of not necessarily going very deep on any one security vulnerability, but instead looking at a certain type of vulnerability and developing automated ways at finding that same flaw in lots of different places across the open source ecosystem. This dovetails perfectly with the Omega ethos, which is what led him to his newest gig.
He’ll keep supporting refinements on روش های خودکار for running down flaws in Data Flow and Control analysis and auto pull request generation. But he’s also going to be continuing the very manual work of collaboration. One of the important lessons he learned last year is that a lot of the work ahead of him and his Alpha-Omega team is not necessarily technical. It’s in building relationships with maintainers to help them see how sometimes even simple fixes to their projects can have a huge impact on global software supply chain security postures.
«تکنولوژیستها و نرمافزارها، ما همیشه عنصر انسانی را دوست نداریم - برای ما راحتتر است که بنشینیم و یک خط کد بنویسیم که این چیز را تشخیص دهد و آن را روی دیوار پرتاب کند تا اینکه با یک شخص واقعی درگیر شویم. و سعی کنید آنها را متقاعد کنید که این چیزی است که ارزش اصلاح دارد.
He explains how one instance last year illustrates this point perfectly. In this case he worked with a maintainer of a YAML Parser that had a six-year-old remote code execution flaw that had a lot of downstream impact. For a long time when Leitschuh approached him about it, the maintainer told him, “Don’t trust untrusted YAML. This is not my vulnerability.”
سرانجام، پس از نشستن نگهدارنده در یک تماس ویدیویی با بحث های فنی فراوان، لایتشوه توانست به او نشان دهد که تغییری که او درخواست کرده بود بسیار محدود بوده و می تواند تأثیر زیادی داشته باشد.
“So he’s now willing to fix this six-year-old remote code execution vulnerability in this YAML Parser because someone like me sat down with him on a video call, finally, and had a conversation with him to convince him the minimal thing that he needed to do to make it more secure,” he says.
در حالی که Leitschuh میتوانست آسیبپذیری را بهطور خودکار رفع کند، اما راه حل ظریفتر این بود که به جای آن این بحث را انجام دهیم.
“I thought it was worth it for me to sit down and spend the time focusing on this one piece of software to try to convince this maintainer. Having those conversations are what’s going to have a wider positive impact writ large on the entire industry,” he says. “At that point you just need boots on the ground. You need people that know what they’re talking about to sit down and spend time that is required to engage with an actual person.”
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://www.darkreading.com/dr-tech/software-supply-chain-security-needs-bigger-picture
- 000
- 10
- 2022
- 2023
- 7
- a
- توانایی
- قادر
- درباره ما
- در مورد IT
- شتاب دادن
- مطابق
- در میان
- عمل
- اضافه
- اضافی
- نشانی
- پس از
- پیش
- هواپیما
- قبلا
- همیشه
- تحلیل
- و
- سالگرد
- سالیانه
- رابط های برنامه کاربردی
- کاربرد
- امنیت نرم افزار
- برنامه های کاربردی
- محدوده
- دور و بر
- خودکار
- خودکار
- اتوماسیون
- اتوماسیون
- AWS
- پایه
- خرس
- زیرا
- تبدیل شدن به
- معیار
- بزرگتر
- بزرگترین
- اسکناس
- چکمه های
- به ارمغان می آورد
- بنا
- ساخته
- صدا
- مورد
- معین
- زنجیر
- تغییر دادن
- سیتی
- نزدیک
- بسته
- ابر
- زیرساخت های ابری
- رمز
- پایه کد
- همکاری
- همکاری
- انجمن
- اجزاء
- نگرانی ها
- در نتیجه
- ادامه دادن
- مداوم
- کنترل
- گفتگو
- گفتگو
- متقاعد کردن
- میتوانست
- دوره
- ایجاد شده
- ایجاد
- بحرانی
- مهمتر
- داده ها
- مناظره
- عمیق
- مستقر
- مشخص کردن
- توسعه دهنده
- در حال توسعه
- DID
- مختلف
- مستقیما
- کشف
- گفتگو
- پایین
- در طی
- آسان تر
- اکوسیستم
- اثر
- موثر
- تلاش
- تلاش
- تعامل
- مشغول
- مهندس
- سرمایه گذاری
- اشتیاق
- تمام
- تجهیزات
- ایجاد
- اخلاق
- حتی
- اعدام
- موجود
- تجربه
- کارشناس
- کارشناسان
- توضیح می دهد
- خیلی
- سرانجام
- مالی
- پیدا کردن
- نام خانوادگی
- رفع
- نقص
- معایب
- جریان
- متمرکز شده است
- تمرکز
- به دنبال
- پیروی
- سابق
- پایه
- تازه
- از جانب
- اساسی
- بودجه
- بیشتر
- نسل
- دریافت کنید
- غول
- GitHub
- جهانی
- هدف
- رفتن
- گوگل
- کمک های مالی
- زمین
- گروه
- دسته
- سخت
- است
- داشتن
- کمک
- کمک کرد
- کمک
- مشخصات بالا
- استخدام
- اصابت
- برگزاری
- صفحه اصلی
- خانه
- چگونه
- HTTPS
- بزرگ
- انسان
- عنصر انسانی
- شناسایی
- شناسایی
- تأثیر
- تأثیرگذار
- اثرات
- مهم
- واردات
- ارتقاء
- بهبود
- in
- از جمله
- فرد
- صنعت
- شالوده
- اول
- در ابتدا
- نمونه
- در عوض
- اینترنت
- تحقیق
- موضوع
- مسائل
- IT
- جی کوئری
- نگاه داشتن
- دانستن
- بزرگ
- نام
- پارسال
- رهبری
- آموخته
- رهبری
- درس
- سطح
- قدرت نفوذ
- کتابخانه ها
- محدود شده
- لاین
- لینوکس
- پایه لینوکس
- کوچک
- زندگی
- طولانی
- مدت زمان طولانی
- به دنبال
- خیلی
- عشق
- ساخته
- ساخت
- مدیریت
- کتابچه راهنمای
- کار دستی
- بسیاری
- مایکروسافت
- میلیون
- حداقل
- ماموریت
- کاهش
- مدل
- ماه
- بیش
- کارآمدتر
- اکثر
- متحرک
- لزوما
- نیاز
- نیازهای
- جدید
- تازه ترین
- بعد
- گره
- Node.js و
- قابل توجه
- اشاره کرد
- عدد
- واضح
- ONE
- باز کن
- منبع باز
- نظر
- سفارش
- کدام سازمان ها
- سازمان های
- دیگر
- در غیر این صورت
- به طور کلی
- خود
- بسته
- گذشته
- مردم
- شخص
- پرسنل
- گوشی های
- تصویر
- قطعه
- قطعات
- اماکن
- برنامه
- افلاطون
- هوش داده افلاطون
- PlatoData
- بسیاری
- نقطه
- پورتال
- موقعیت
- مثبت
- آماده
- شایع
- اولویت بندی شده
- مشکل
- محصول
- پروژه
- پروژه ها
- قرار دادن
- پازل
- پــایتــون
- محدوده
- سریع
- RE
- تازه
- قرمز
- ردهت
- روابط
- منتشر شد
- ماندن
- دور
- گزارش
- گزارش
- گزارش ها
- مخزن
- درخواست
- درخواست
- ضروری
- تحقیق
- پژوهشگر
- ریشه
- دویدن
- در حال اجرا
- زنگ
- همان
- مقیاس
- مقیاس گذاری
- امن
- امنیت
- تیم امنیت لاتاری
- آسیب پذیری امنیتی
- ارشد
- چند
- نشان
- طرف
- قابل توجه
- ساده
- نشسته
- So
- نرم افزار
- حل
- کسی
- منبع
- خرج کردن
- صرف
- استانداردهای
- ستاره
- مراحل
- opbevare
- ارسال
- موفق
- عرضه
- زنجیره تامین
- پشتیبانی
- حمایت از
- سیستم
- سیستمیک
- سیستم های
- استعداد
- سخنگو
- تیم
- فنی
- تکنسین ها
- La
- محوطه
- پروژه ها
- جهان
- شان
- چیز
- شخص ثالث
- در این سال
- فکر
- هزاران نفر
- تهدید
- زمان
- به
- امروز
- با هم
- ابزار
- ابزار
- انتقالها
- اعتماد
- us
- استفاده کنید
- سودمندی
- نسخه
- از طريق
- تصویری
- دید
- آسیب پذیری ها
- آسیب پذیری
- آسیب پذیر
- راه
- چی
- چه
- که
- WHO
- وسیع
- به طور گسترده ای
- گسترده تر
- اراده
- مایل
- در داخل
- مهاجرت کاری
- مشغول به کار
- کارگر
- گروه کاری
- جهان
- با ارزش
- پیچیده
- نوشتن
- یامل
- سال
- شما
- زفیرنت