אבטחת שרשרת אספקת התוכנה זקוקה לתמונה גדולה יותר

המבוך המורכב של תלות בקוד פתוח על פני שרשרת אספקת התוכנה העולמית יצר פאזל אבטחת יישומים בפרופורציות אדירות. בין אם קוד פתוח או סגור, רוב התוכנות בעולם כיום בנויות על רכיבים וספריות של צד שלישי. כתוצאה מכך, לחתיכה אחת של קוד פגיע אפילו בפרויקטים הקטנים ביותר של קוד פתוח יכולה להיות אפקט דומינו שמשפיע על אלפי יישומים אחרים, ממשקי API, רכיבי תשתית ענן ועוד.

נושא זה הופך לאחד מדאגות האבטחה הדוחקות ביותר של CISOs כיום, וברמת הארגון האישי, ארגונים עובדים קשה להתמודד עם זה עם פרויקטים כמו בנייה החוצה רשימות תוכנה (SBOMs), הקמת תקני ניהול אבטחה בקוד פתוח ויצירת מעקות בטיחות טכניים למפתחים לעקוב אחריהם.

אבל המאמצים האלה לא בהכרח פותרים את הבעיה ברמה מערכתית יותר. לדברי מומחים רבים בקהילת הקוד הפתוח, על מנת לעשות את השקע הגדול ביותר בשרשרת האספקה ​​במורד הזרם, יש להשקיע מאמץ רב יותר בסיוע לתחזקי פרויקטים בקוד פתוח לנקות את הקוד שלהם.

זו המטרה של ה פרויקט אלפא-אומגה. אלפא-אומגה עומדת לחגוג את יום השנה שלה בחודש הבא, היא פרויקט אבטחה רחב ידיים שהוקם על ידי קרן האבטחה בקוד פתוח (OpenSSF) וארגון האם שלה, קרן לינוקס, כדי לטפל בבעיות הבסיסיות באבטחת שרשרת אספקת התוכנה.

השמיים אלפא הצד של הפרויקט מתמקד בשיתוף פעולה עם המתחזקים של פרויקטי הקוד הפתוח הקריטיים ביותר לשרשרת האספקה ​​הרחבה יותר - כולל בולטים כמו node ו-jQquery - כדי לעזור להם לשפר את מצב האבטחה של הקוד שלהם. אלו הם פרויקטים שנבחרו ידנית על ידי קבוצת העבודה של OpenSSF Securing Critical Projects תוך שימוש בחוות דעת מומחים ובנתונים ממדדים כמו ציון הביקורתיות של OpenSSF כדי לקבוע את הפרויקטים בעלי ההשפעה הגדולה ביותר במורד הזרם.

השמיים אוֹמֶגָה הצד של הפרויקט פונה לזנב הארוך של אבטחת שרשרת אספקת התוכנה, תוך שימוש באוטומציה וכלי עבודה לזיהוי פרצות אבטחה קריטיות בטווח של 10,000 פרויקטי קוד פתוח בפריסה נרחבת. זהו מאמץ להגדיל את התיקון של הפגמים הנמוכים ביותר, הברורים ביותר, הנפוצים בכל שרשרת האספקה.

במימון תחילה על ידי גוגל ומיקרוסופט, עם רשת כלים נוספת ותמיכה כוחנית מהענקית הפיננסית Citi, אלפא-אומגה סיימה את 2022 על ידי גיוס של 2.5 מיליון דולר נוספים מ-AWS. חשוב יותר, הפרויקט מתכונן לשנת 2023 עם שני עובדים קריטיים חדשים - יסניה איסר, לשעבר מהנדסת אבטחת מוצר של Red Hat וג'ונתן לייטשו, שזה עתה סיים את עבודתו. תפקיד של שנה בתור עמית דן קמינסקי הראשון לביטחון האדם. איסר נכנס כמהנדס אבטחת תוכנה בכיר ולייטשוה ימשיך במחקריו בנושא אוטומציה של מחקר אבטחה בקוד פתוח ושיקום כחוקר אבטחת תוכנה בכיר.

השנה הראשונה של פרויקט אלפא-אומגה

פרויקט זה הוא אחד מכמה פרויקטי אבטחה בעלי פרופיל גבוה שהובילו ו גיוס כספים על ידי OpenSSF ו-Linux Foundation בשנה האחרונה כדי להתמודד עם הבעיות המערכתיות באבטחת קוד פתוח. בעקבות המודל המוצלח של הארגונים למימון מהיר ופעולה בפרויקטים ביטחוניים, אלפא-אומגה כבר התקדמה במספר חזיתות משמעותיות.

על פי הדו"ח השנתי הראשון של הפרויקט, הפרויקט כבר עוסק בחמישה פרויקטים שונים בקוד פתוח: Node.js, Eclipse Foundation, Rust Foundation, jQuery ו-Python Software Foundation. במהלך שנת 2022, אלפא-אומגה חילקה 1.5 מיליון דולר במענקים לפרויקטים שונים, כולל 460,000 דולר לקרן Rust, 400,000 דולר לקרן Eclipse ו-300,000 דולר ל-Node. במקרה של Node, תמיכה זו סייעה לה להפעיל מחדש את קבוצת העבודה של אבטחת הצומת ולהביא אותה לעבודה על מודל אבטחה ואיומים עבור Node.js, והיא דרבנה את הניסוח של 20 דוחות פגיעות שונים על פני בסיס הקוד של הפרויקט.

בנוסף, אלפא-אומגה הוציאה לאחרונה את הגרסה הראשונית של Omega Analysis Toolchain, אשר מרכזת 27 מנתחי אבטחה שונים לזיהוי נקודות תורפה קריטיות בחבילות קוד פתוח. הפרויקט גם הוציא מספר כלים ניסיוניים, כולל פורטל טריאז' כדי לייעל את מחקר האבטחה והדיווח.

במשך שנה שנתיים, הפרויקט מתכנן להאיץ את העבודה בצד האומגה של הבית.

מה יש ל-2023 עבור הפרויקט

התוספת של Yser ו- Leitschuh לפרויקט אלפא-אומגה לא רק תזרים יותר כוח מוח, זמן וכישרון למאמצים הקיימים, אלא גם הרבה התלהבות להזיז את המחט על אבטחת קוד פתוח.

"תוכנת קוד פתוח נמצאת בכל ציוד שנמצא בשימוש היום, החל ממכוניות, מטוסים, טלפונים, עוקבים ואפילו מערכות שירות", אומר Yser, שיש לו שורשים עמוקים בעולם DevSecOps ושרשרת האספקה ​​של התוכנה. בתפקידה ב-Red Hat היא הייתה המובילה הטכנית של שרשרת האספקה. "לחזון הפרויקט יש השפעה גלובלית של שיפור עמדת האבטחה של תוכנת קוד פתוח, אבטחת שרשרת אספקה ​​וחיים של אנשים ברחבי העולם."

היא תעבוד ישירות על שיפור שרשרת הכלים של אומגה ופורטל הטריאג' כדי לעזור להנדס שיפורים באופן שבו פרויקטים והשפעות פגיעות מנותחות ומתעדפות לצמצום.

"עבור רשת הכלים של אומגה, המטרה לשנה זו תהיה מערכת מבצעית שתחזק או מפתח יכולים למנף אותה", היא אומרת. "עבור פורטל הטריאג', המטרה תהיה לתמוך ביכולתו של חוקר לבצע בדיקה של ממצא שהתגלה באמצעות ייבוא ​​דו"ח SARIF לפורטל ולטפל בחקירה שלו בתוך המערכת. המערכת תישאר מוגבלת לצוות אלפא-אומגה עד שיצוין אחרת, אך הודות לתוכנת קוד פתוח, חוקר יכול להפעיל מופע משלו ולהגיש בקשות משיכה למאגר ולתמוך במשימה הכוללת".

היא תעבוד בשיתוף פעולה הדוק עם Leitschuh, אשר מביאה לידי ביטוי ניסיון משמעותי ורענן מאוד בתחום קנה המידה ואוטומציה של תיקונים בפרויקטי קוד פתוח. הוא בילה את המלגה בשנה שעברה בעבודה על הבעיה הזו בדיוק. המטרה שלו היא להמשיך את העבודה שעשה שם ולהשתמש במה שלמד כדי לקדם את משימתו של לשרש את הפגמים הנפוצים והמשפיעים ביותר האורבים על פני טווח רחב של פרויקטים בקוד פתוח.

"אולי אנחנו לא יודעים איפה היתדות הקטנות האלה שמחזיקות את כל תעשיית התוכנה קיימות", הוא אומר. "יכול להיות שזו אחת מאותן חתיכות קטנות של תוכנה שיש לה 15 כוכבים ב-GitHub שאף אחד לא יודע, אבל היא מעכבת את כל האינטרנט. אז איך מאבטחים את הפרויקטים האלה שאף אחד לא יודע עליהם, אבל הם איכשהו מהותיים לכל שרשרת האספקה?"

הוא אומר שעבודתו במהלך המלגה עזרה לו להתקדם בנישה שלו של לא בהכרח להעמיק בשום פגיעות אבטחה, אלא להסתכל על סוג מסוים של פגיעות ולפתח דרכים אוטומטיות למציאת אותו פגם בהרבה מקומות שונים על פני המערכת האקולוגית של הקוד הפתוח. זה משתלב בצורה מושלמת עם אתוס אומגה, וזה מה שהוביל אותו להופעה החדשה ביותר שלו.

הוא ימשיך לתמוך בשכלולים שיטות אוטומטיות לריצת פגמים בניתוח זרימת נתונים ובקרה ויצירת בקשות משיכה אוטומטית. אבל הוא גם ימשיך בעבודה הידנית של שיתוף הפעולה. אחד הלקחים החשובים שלמד בשנה שעברה הוא שהרבה מהעבודה שמצפה לו ולצוות האלפא-אומגה שלו היא לא בהכרח טכנית. זה בבניית קשרים עם מתחזקים כדי לעזור להם לראות כיצד לפעמים אפילו תיקונים פשוטים לפרויקטים שלהם יכולים להשפיע עצומה על תנוחות האבטחה של שרשרת אספקת התוכנה העולמית.

"טכנולוגים ואנשי תוכנה, אנחנו לא תמיד אוהבים את האלמנט האנושי - קל לנו יותר לשבת ולכתוב שורת קוד שמזהה את הדבר הזה ולזרוק אותו על קיר מאשר לנו לעסוק באדם אמיתי. ולנסות לשכנע אותם שזה דבר ששווה לתקן", הוא אומר.

הוא מסביר כיצד מקרה אחד בשנה שעברה ממחיש את הנקודה הזו בצורה מושלמת. במקרה זה הוא עבד עם מתחזק של מנתח YAML שהיה לו פגם בביצוע קוד מרחוק בן שש שנים שהשפיע רבות במורד הזרם. במשך זמן רב, כאשר לייטשוח פנה אליו בעניין, אמר לו המתחזק, "אל תסמוך על YAML לא מהימן. זו לא הפגיעות שלי".

לבסוף, לאחר שהושיב את המנהל בשיחת וידאו עם הרבה ויכוחים טכניים, Leitschuh הצליח להראות לו שהשינוי שביקש היה צר ביותר ויכול להיות בעל השפעה עצומה.

"אז הוא מוכן עכשיו לתקן את פגיעות ביצוע קוד מרחוק בת שש שנים ב-YAML Parser הזה, כי מישהו כמוני ישב איתו בשיחת וידאו, סוף סוף, וניהל איתו שיחה כדי לשכנע אותו את הדבר המינימלי שהוא צריך לעשות כדי לעשות את זה יותר בטוח", הוא אומר.

בעוד ש-Leitschuh יכלה לתקן אוטומטית את הפגיעות במורד הזרם, התיקון האלגנטי יותר היה לקיים את הדיון הזה במקום זאת.

"חשבתי ששווה לי לשבת ולהקדיש את הזמן להתמקד בחתיכת התוכנה האחת הזו כדי לנסות לשכנע את המתחזק הזה. קיום השיחות האלה הוא מה שתהיה לה השפעה חיובית רחבה יותר על כל התעשייה", הוא אומר. "בשלב הזה אתה רק צריך מגפיים על הקרקע. אתה צריך אנשים שיודעים על מה הם מדברים כדי לשבת ולבלות זמן שנדרש כדי לתקשר עם אדם אמיתי."

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
• מקור: https://www.darkreading.com/dr-tech/software-supply-chain-security-needs-bigger-picture