Labirin rumit dari ketergantungan open source di seluruh rantai pasokan perangkat lunak global telah menciptakan teka-teki keamanan aplikasi dengan proporsi yang sangat besar. Apakah open source atau tertutup, sebagian besar perangkat lunak dunia saat ini dibangun di atas komponen dan pustaka pihak ketiga. Konsekuensinya, satu bagian dari kode yang rentan bahkan dalam proyek sumber terbuka terkecil sekalipun dapat memiliki efek domino yang berdampak pada ribuan aplikasi lain, API, komponen infrastruktur cloud, dan banyak lagi.
Masalah ini menjadi salah satu masalah keamanan CISO yang paling mendesak saat ini, dan pada tingkat perusahaan individual, organisasi bekerja keras menanganinya dengan proyek seperti membangun perangkat lunak tagihan bahan (SBOM), menetapkan standar manajemen keamanan sumber terbuka, dan membuat pagar teknis untuk pengembang untuk mengikuti mereka
Namun upaya ini belum tentu menyelesaikan masalah pada tataran yang lebih sistemik. Menurut banyak ahli di komunitas open source, untuk membuat penyok terbesar dalam rantai pasokan hilir, lebih banyak upaya perlu dilakukan untuk membantu pengelola proyek open source membersihkan kode mereka.
Ini adalah tujuan dari Proyek Alfa-Omega. Akan mencapai peringatan satu tahunnya bulan depan, Alpha-Omega adalah proyek keamanan gambar besar yang disatukan oleh Open Source Security Foundation (OpenSSF) dan organisasi induknya, Linux Foundation untuk mengatasi masalah mendasar dalam keamanan rantai pasokan perangkat lunak.
Grafik alfa sisi proyek difokuskan pada kolaborasi dengan pengelola proyek sumber terbuka yang paling penting untuk rantai pasokan yang lebih luas โ termasuk yang terkenal seperti node dan jQquery โ untuk membantu mereka meningkatkan postur keamanan kode mereka. Ini adalah proyek yang dipilih langsung oleh kelompok kerja OpenSSF Securing Critical Projects menggunakan pendapat ahli dan data dari tolok ukur seperti Open SSF Criticality Score untuk menentukan proyek dengan dampak hilir terbesar.
Grafik akhir sisi proyek beralih ke ujung panjang keamanan rantai pasokan perangkat lunak, menggunakan otomatisasi dan perkakas untuk mengidentifikasi kerentanan keamanan kritis di kisaran 10,000 proyek sumber terbuka yang digunakan secara luas. Ini adalah upaya untuk meningkatkan perbaikan kelemahan yang paling rendah dan paling jelas yang menyebar di seluruh rantai pasokan.
Didanai awalnya oleh Google dan Microsoft, dengan rantai alat tambahan dan dukungan personel dari raksasa keuangan Citi, Alpha-Omega menutup tahun 2022 dengan mendapatkan tambahan $2.5 juta dari AWS. Lebih penting lagi, proyek ini bersiap untuk tahun 2023 dengan dua karyawan penting baruโYesenia Yser, mantan insinyur keamanan produk untuk Red Hat dan Jonathan Leitschuh, yang baru saja menyelesaikan tugas satu tahun sebagai Dan Kaminsky Fellow pertama untuk Keamanan Manusia. Yser masuk sebagai insinyur keamanan perangkat lunak senior dan Leitschuh akan melanjutkan penelitiannya mengotomatiskan penelitian keamanan sumber terbuka dan remediasi sebagai peneliti keamanan perangkat lunak senior.
Tahun Pertama Proyek Alpha-Omega
Proyek ini adalah salah satu dari beberapa proyek keamanan profil tinggi yang dipelopori dan digalang dana oleh OpenSSF dan Linux Foundation dalam satu tahun terakhir untuk mengatasi masalah sistemik dalam keamanan open source. Mengikuti model sukses organisasi untuk pendanaan cepat dan tindakan pada proyek keamanan, Alpha-Omega telah membuat kemajuan di sejumlah bidang yang signifikan.
Menurut laporan tahunan pertama proyek tersebut, proyek tersebut telah terlibat dengan lima proyek sumber terbuka yang berbeda: Node.js, Eclipse Foundation, Rust Foundation, jQuery, dan Python Software Foundation. Selama tahun 2022, Alpha-Omega membagikan $1.5 juta dalam bentuk hibah untuk berbagai proyek, termasuk $460,000 ke Rust Foundation, $400,000 ke Eclipse Foundation, dan $300,000 ke Node.js. Dalam kasus Node, dukungan itu membantunya mengaktifkan kembali Kelompok Kerja Keamanan Node dan membuatnya bekerja pada model keamanan dan ancaman untuk Node.js, dan mendorong triase 20 laporan kerentanan berbeda di seluruh basis kode proyek.
Selain itu, Alpha-Omega baru-baru ini merilis versi awal dari Omega Analysis Toolchain, yang mengatur 27 penganalisa keamanan yang berbeda untuk mengidentifikasi kerentanan kritis dalam paket open source. Proyek ini juga merilis sejumlah alat eksperimental, termasuk portal triase untuk membuat penelitian dan pelaporan keamanan menjadi lebih efisien.
Untuk tahun kedua, proyek berencana untuk mempercepat pekerjaan di sisi rumah Omega.
Apa yang Dimiliki 2023 untuk Proyek
Penambahan Yser dan Leitschuh ke Proyek Alpha-Omega tidak hanya akan menanamkan lebih banyak kekuatan otak, waktu, dan bakat ke dalam upaya yang ada, tetapi juga banyak antusiasme untuk menggerakkan jarum pada keamanan open source.
โPerangkat lunak open source ada di setiap peralatan yang digunakan saat ini, mulai dari otomotif, pesawat terbang, telepon, pelacak, dan bahkan sistem utilitas,โ kata Yser, yang memiliki akar mendalam di DevSecOps dan dunia rantai pasokan perangkat lunak. Dalam posisinya di Red Hat, dia adalah pemimpin teknis operasi rantai pasokan. โVisi untuk proyek ini memiliki dampak global dalam meningkatkan postur keamanan perangkat lunak sumber terbuka, keamanan rantai pasokan, dan kehidupan orang-orang di seluruh dunia.โ
Dia akan bekerja secara langsung untuk meningkatkan rantai alat Omega dan portal triase untuk membantu merekayasa peningkatan dalam cara proyek dan dampak kerentanan dianalisis dan diprioritaskan untuk mitigasi.
โUntuk rantai alat Omega, tujuan tahun ini adalah memiliki sistem yang dapat dioperasionalkan yang dapat dimanfaatkan oleh pengelola atau pengembang,โ katanya. โUntuk Triage Portal, tujuannya adalah untuk mendukung kemampuan peneliti untuk melakukan triase temuan yang ditemukan dengan mengimpor laporan SARIF ke portal dan menangani penyelidikan mereka di dalam sistem. Sistem akan tetap terbatas pada tim Alpha-Omega sampai disebutkan sebaliknya, namun berkat perangkat lunak sumber terbuka, peneliti dapat menjalankan instans mereka sendiri dan mengirimkan permintaan penarikan ke repositori dan mendukung keseluruhan misi.โ
Dia akan bekerja sama erat dengan Leitschuh, yang membawa pengalaman signifikan dan sangat baru untuk diterapkan di bidang penskalaan dan perbaikan otomatisasi di seluruh proyek sumber terbuka. Dia menghabiskan persekutuan tahun lalu untuk mengerjakan masalah yang tepat ini. Tujuannya adalah untuk melanjutkan pekerjaan yang dia lakukan di sana dan menggunakan apa yang dia pelajari untuk melanjutkan misinya untuk membasmi kelemahan yang paling umum dan berdampak yang mengintai di banyak proyek open source.
โKita mungkin tidak tahu di mana pasak kecil yang menahan keberadaan seluruh industri perangkat lunak,โ katanya. โItu bisa menjadi salah satu perangkat lunak kecil yang memiliki 15 bintang di GitHub yang tidak diketahui siapa pun, tetapi itu menahan seluruh Internet. Jadi bagaimana kami mengamankan proyek-proyek yang tidak diketahui siapa pun, tetapi entah bagaimana merupakan hal mendasar bagi seluruh rantai pasokan?
Dia mengatakan pekerjaannya selama persekutuan membantunya lebih jauh masuk ke ceruknya tidak harus terlalu mendalam pada satu kerentanan keamanan, melainkan melihat jenis kerentanan tertentu dan mengembangkan cara otomatis untuk menemukan kelemahan yang sama di banyak tempat berbeda. di seluruh ekosistem open source. Ini sangat cocok dengan etos Omega, yang membawanya ke pertunjukan terbarunya.
Dia akan terus mendukung penyempurnaan metode otomatis untuk mengatasi kelemahan dalam analisis Aliran Data dan Kontrol serta pembuatan permintaan tarik otomatis. Tapi dia juga akan melanjutkan pekerjaan kolaborasi yang sangat manual. Salah satu pelajaran penting yang dia pelajari tahun lalu adalah bahwa banyak pekerjaan di depan dia dan tim Alpha-Omeganya belum tentu bersifat teknis. Ini dalam membangun hubungan dengan pengelola untuk membantu mereka melihat bagaimana kadang-kadang bahkan perbaikan sederhana untuk proyek mereka dapat berdampak besar pada postur keamanan rantai pasokan perangkat lunak global.
โPara ahli teknologi dan perangkat lunak, kami tidak selalu menyukai elemen manusia โ lebih mudah bagi kami untuk duduk dan menulis sebaris kode yang mendeteksi benda ini dan melemparkannya ke dinding daripada bagi kami untuk terlibat dengan orang yang sebenarnya. dan coba meyakinkan mereka bahwa ini adalah hal yang layak diperbaiki, โkatanya.
Dia menjelaskan bagaimana satu contoh tahun lalu menggambarkan hal ini dengan sempurna. Dalam hal ini dia bekerja dengan pengelola Parser YAML yang memiliki cacat eksekusi kode jarak jauh berusia enam tahun yang berdampak besar pada hilir. Untuk waktu yang lama ketika Leitschuh mendekatinya tentang hal itu, pengelola mengatakan kepadanya, โJangan percayai YAML yang tidak dipercaya. Ini bukan kerentanan saya.โ
Akhirnya, setelah mendudukkan pengelola dalam panggilan video dengan banyak debat teknis, Leitschuh dapat menunjukkan kepadanya bahwa perubahan yang dia minta sangat sempit dan dapat berdampak besar.
โJadi dia sekarang bersedia untuk memperbaiki kerentanan eksekusi kode jarak jauh berusia enam tahun ini di Parser YAML ini karena seseorang seperti saya akhirnya duduk bersamanya di panggilan video, dan berbicara dengannya untuk meyakinkannya hal minimal yang dia perlu dilakukan untuk membuatnya lebih aman, โkatanya.
Sementara Leitschuh dapat secara otomatis memperbaiki kerentanan di bagian hilir, perbaikan yang lebih elegan adalah melakukan diskusi ini.
โSaya pikir layak bagi saya untuk duduk dan menghabiskan waktu berfokus pada perangkat lunak yang satu ini untuk mencoba meyakinkan pengelola ini. Memiliki percakapan itu adalah apa yang akan memiliki dampak positif yang lebih luas secara besar-besaran di seluruh industri, โkatanya. โPada saat itu Anda hanya perlu sepatu bot di lapangan. Anda membutuhkan orang yang tahu apa yang mereka bicarakan untuk duduk dan menghabiskan waktu yang diperlukan untuk terlibat dengan orang yang sebenarnya.โ
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://www.darkreading.com/dr-tech/software-supply-chain-security-needs-bigger-picture
- 000
- 10
- 2022
- 2023
- 7
- a
- kemampuan
- Sanggup
- Tentang Kami
- tentang itu
- mempercepat
- Menurut
- di seluruh
- Tindakan
- tambahan
- Tambahan
- alamat
- Setelah
- di depan
- Airplanes
- sudah
- selalu
- analisis
- dan
- Ulang tahun
- tahunan
- Lebah
- Aplikasi
- keamanan aplikasi
- aplikasi
- DAERAH
- sekitar
- mobil
- Otomatis
- mengotomatisasi
- Otomatisasi
- AWS
- mendasarkan
- Beruang
- karena
- menjadi
- Benchmark
- lebih besar
- Terbesar
- Uang kertas
- Sepatu bot
- Membawa
- Bangunan
- dibangun di
- panggilan
- kasus
- tertentu
- rantai
- perubahan
- citi
- Penyelesaian
- tertutup
- awan
- infrastruktur cloud
- kode
- basis kode
- berkolaborasi
- kolaborasi
- masyarakat
- komponen
- Kekhawatiran
- Karena itu
- terus
- terus-menerus
- kontrol
- Percakapan
- percakapan
- meyakinkan
- bisa
- Kelas
- dibuat
- membuat
- kritis
- krusial
- data
- perdebatan
- mendalam
- dikerahkan
- Menentukan
- Pengembang
- berkembang
- MELAKUKAN
- berbeda
- langsung
- ditemukan
- diskusi
- turun
- selama
- mudah
- ekosistem
- efek
- efisien
- usaha
- upaya
- mengikutsertakan
- bertunangan
- insinyur
- Enterprise
- antusiasme
- Seluruh
- peralatan
- membangun
- Jiwa khas suatu bangsa
- Bahkan
- eksekusi
- ada
- pengalaman
- ahli
- ahli
- Menjelaskan
- sangat
- Akhirnya
- keuangan
- temuan
- Pertama
- Memperbaiki
- cacat
- kekurangan
- aliran
- terfokus
- berfokus
- mengikuti
- berikut
- dahulu
- Prinsip Dasar
- segar
- dari
- mendasar
- pendanaan
- lebih lanjut
- generasi
- mendapatkan
- raksasa
- GitHub
- Aksi
- tujuan
- akan
- beasiswa
- Tanah
- Kelompok
- menangani
- Sulit
- topi
- memiliki
- membantu
- membantu
- membantu
- profil tinggi
- karyawan
- Memukul
- memegang
- Beranda
- Rumah
- Seterpercayaapakah Olymp Trade? Kesimpulan
- HTTPS
- besar
- manusia
- Elemen Manusia
- mengenali
- mengidentifikasi
- Dampak
- berdampak
- dampak
- penting
- pengimporan
- perbaikan
- meningkatkan
- in
- Termasuk
- sendiri-sendiri
- industri
- Infrastruktur
- mulanya
- mulanya
- contoh
- sebagai gantinya
- Internet
- investigasi
- isu
- masalah
- IT
- jQuery
- Menjaga
- Tahu
- besar
- Terakhir
- Tahun lalu
- memimpin
- belajar
- Dipimpin
- Pelajaran
- Tingkat
- Leverage
- perpustakaan
- Terbatas
- baris
- linux
- dasar linux
- sedikit
- hidup
- Panjang
- lama
- mencari
- Lot
- cinta
- terbuat
- membuat
- pengelolaan
- panduan
- pekerjaan manual
- banyak
- Microsoft
- juta
- minimal
- Misi
- mitigasi
- model
- Bulan
- lebih
- lebih efisien
- paling
- bergerak
- perlu
- Perlu
- kebutuhan
- New
- Terbaru
- berikutnya
- simpul
- Node.js
- terkemuka
- terkenal
- jumlah
- Jelas
- ONE
- Buka
- open source
- Pendapat
- urutan
- organisasi
- organisasi
- Lainnya
- jika tidak
- secara keseluruhan
- sendiri
- paket
- lalu
- Konsultan Ahli
- orang
- Personil
- ponsel
- gambar
- bagian
- potongan-potongan
- Tempat
- rencana
- plato
- Kecerdasan Data Plato
- Data Plato
- Cukup
- Titik
- Portal
- posisi
- positif
- mempersiapkan
- lazim
- diprioritaskan
- Masalah
- Produk
- proyek
- memprojeksikan
- menempatkan
- teka-teki
- Ular sanca
- jarak
- cepat
- RE
- baru-baru ini
- Merah
- Red Hat
- Hubungan
- dirilis
- tinggal
- terpencil
- melaporkan
- Pelaporan
- laporan
- gudang
- permintaan
- permintaan
- wajib
- penelitian
- peneliti
- rooting
- Run
- berjalan
- Karat
- sama
- Skala
- skala
- aman
- mengamankan
- keamanan
- kerentanan keamanan
- senior
- beberapa
- Menunjukkan
- sisi
- penting
- Sederhana
- Duduk
- So
- Perangkat lunak
- MEMECAHKAN
- Seseorang
- sumber
- menghabiskan
- menghabiskan
- standar
- Bintang
- Tangga
- menyimpan
- menyerahkan
- sukses
- menyediakan
- supply chain
- mendukung
- pendukung
- sistem
- sistemik
- sistem
- Bakat
- pembicaraan
- tim
- Teknis
- teknologi
- Grafik
- Daerah
- Proyek
- Dunia
- mereka
- hal
- pihak ketiga
- tahun ini
- pikir
- ribuan
- ancaman
- waktu
- untuk
- hari ini
- bersama
- alat
- alat
- pelacak
- Kepercayaan
- us
- menggunakan
- kegunaan
- versi
- melalui
- Video
- penglihatan
- Kerentanan
- kerentanan
- Rentan
- cara
- Apa
- apakah
- yang
- SIAPA
- lebar
- sangat
- lebih luas
- akan
- rela
- dalam
- Kerja
- bekerja
- kerja
- Kelompok kerja
- dunia
- bernilai
- dibungkus
- menulis
- yaml
- tahun
- Kamu
- zephyrnet.dll
