ソフトウェア サプライ チェーンのセキュリティには全体像が必要

グローバルなソフトウェア サプライ チェーン全体にわたるオープン ソース依存関係の複雑な迷路は、巨大な割合のアプリケーション セキュリティ パズルを生み出しました。 オープン ソースであろうとクローズドであろうと、今日の世界のソフトウェアのほとんどは、サード パーティのコンポーネントとライブラリに基づいて構築されています。 その結果、最小のオープン ソース プロジェクトであっても、脆弱なコードの XNUMX つがドミノ効果を引き起こし、他の何千ものアプリケーション、API、クラウド インフラストラクチャ コンポーネントなどに影響を与える可能性があります。

この問題は、今日の CISO にとって最も差し迫ったセキュリティ上の懸念の XNUMX つになりつつあり、個々の企業レベルでは、組織は構築などのプロジェクトで懸命に取り組んでいます。 ソフトウェア部品表 (SBOM)、オープン ソース セキュリティ管理標準の確立、および作成 開発者向けの技術的ガードレール それらに従う。

しかし、これらの努力は必ずしもより体系的なレベルで問題を解決するとは限りません。 オープンソース コミュニティの多くの専門家によると、ダウンストリーム サプライ チェーンに最大の影響を与えるには、オープンソース プロジェクトのメンテナーを支援するために、より多くの努力を払う必要があります。 コードをクリーンアップする.

これが アルファオメガプロジェクト. 来月で XNUMX 周年を迎えようとしている Alpha-Omega は、ソフトウェア サプライ チェーンのセキュリティにおける根本的な問題に対処するために、Open Source Security Foundation (OpenSSF) とその親組織である Linux Foundation によってまとめられた大局的なセキュリティ プロジェクトです。

　 アルファ プロジェクトの側面では、幅広いサプライ チェーンにとって最も重要なオープン ソース プロジェクトのメンテナー (node や jQquery などの著名人を含む) と協力して、コードのセキュリティ体制をレベルアップできるよう支援することに重点を置いています。 これらは、専門家の意見と Open SSF Critical Score などのベンチマークからのデータを使用して OpenSSF Securing Critical Projects ワーキング グループによって厳選されたプロジェクトであり、ダウンストリームへの影響が最大のプロジェクトを決定します。

　 オメガ プロジェクトの側面では、ソフトウェア サプライ チェーン セキュリティのロングテールに目を向け、自動化とツールを使用して、広く展開されている 10,000 のオープン ソース プロジェクトの範囲にわたって重大なセキュリティ脆弱性を特定します。 これは、サプライ チェーン全体に蔓延している、最も簡単で最も明白な欠陥の修復を拡大する取り組みです。

当初は Google と Microsoft から資金提供を受け、追加のツールチェーンと金融大手の Citi からの人員支援を受けて、Alpha-Omega は AWS からさらに 2022 万ドルを調達して 2.5 年を締めくくりました。 さらに重要なことに、このプロジェクトは 2023 年に向けて XNUMX 人の重要な人材を新たに採用する準備を進めています。Yesenia Yser は Red Hat の元製品セキュリティ エンジニアで、Jonathan Leitschuh は仕事を終えたばかりです。 最初のダン・カミンスキー・フェローとしてのXNUMX年間の任務 人間の安全保障のために。 Yser がシニア ソフトウェア セキュリティ エンジニアとして参加し、Leitschuh は今後も研究を続けます。 オープンソース セキュリティ研究の自動化 シニアソフトウェアセキュリティ研究者としての修復。

アルファ・オメガ計画初年度

このプロジェクトは、複数の注目を集めるセキュリティ プロジェクトの XNUMX つです。 OpenSSF と Linux Foundation による資金調達 この XNUMX 年間で、オープン ソース セキュリティの体系的な問題に取り組みました。 組織の迅速な資金調達とセキュリティ プロジェクトへの行動の成功モデルに従って、Alpha-Omega はすでに多くの重要な分野で前進を遂げています。

プロジェクトの最初の年次報告書によると、プロジェクトはすでに 2022 つの異なるオープン ソース プロジェクト (Node.js、Eclipse Foundation、Rust Foundation、jQuery、および Python Software Foundation) と連携しています。 1.5 年の間に、Alpha-Omega は Rust Foundation に 460,000 ドル、Eclipse Foundation に 400,000 ドル、Node に 300,000 ドルを含む、さまざまなプロジェクトに 20 万ドルの助成金を寄付しました。 Node の場合、そのサポートにより Node Security Working Group が再活性化され、Node.js のセキュリティおよび脅威モデルに取り組むことができ、プロジェクトのコード ベース全体で XNUMX の異なる脆弱性レポートのトリアージに拍車がかかりました。

さらに、Alpha-Omega は最近、Omega Analysis Toolchain の初期バージョンをリリースしました。これは、オープン ソース パッケージの重大な脆弱性を特定するために 27 の異なるセキュリティ アナライザーを調整します。 このプロジェクトは、セキュリティの調査と報告をより効率的にするためのトリアージ ポータルなど、多くの実験的なツールもリリースしました。

XNUMX 年目は、このプロジェクトは家のオメガ側の作業を加速する予定です。

プロジェクトのために2023年に用意されているもの

Yser と Leitschuh が Alpha-Omega Project に加わることで、既存の取り組みにより多くの知力、時間、才能が注ぎ込まれるだけでなく、オープン ソース セキュリティに大きな変化をもたらすことに多くの熱意が注がれます。

「オープンソース ソフトウェアは、自動車、飛行機、電話、トラッカー、さらにはユーティリティ システムに至るまで、今日使用されているすべての機器に組み込まれています」と、DevSecOps およびソフトウェア サプライ チェーンの世界に深く根ざしている Yser 氏は述べています。 Red Hat での彼女の立場では、サプライ チェーン オペレーションのテクニカル リードを務めていました。 「このプロジェクトのビジョンは、オープンソース ソフトウェアのセキュリティ体制、サプライ チェーンのセキュリティ、そして世界中の人々の生活を改善するという世界的な影響をもたらします。」

彼女は Omega ツールチェーンとトリアージ ポータルの改善に直接取り組み、エンジニアがプロジェクトと脆弱性の影響を分析して軽減のために優先順位を付ける方法を改善できるようにします。

「Omega ツール チェーンの今年の目標は、メンテナーや開発者が利用できる運用可能なシステムを持つことです」と彼女は言います。 「トリアージ ポータルの目標は、SARIF レポートをポータルにインポートし、システム内で調査を処理することで、発見された調査結果をトリアージする研究者の能力をサポートすることです。 特に断りのない限り、システムは Alpha-Omega チームに限定されたままになりますが、オープンソース ソフトウェアのおかげで、研究者は自分のインスタンスを実行し、リポジトリにプル リクエストを送信して、ミッション全体をサポートできます。」

彼女は、オープンソース プロジェクト全体の修正のスケーリングと自動化の分野で重要かつ非常に新鮮な経験をもたらす Leitschuh と密接に協力して作業します。 彼は昨年のフェローシップで、まさにこの問題に取り組みました。 彼の目標は、そこで行った作業を継続し、学んだことを使用して、幅広いオープン ソース プロジェクトに潜む最も一般的で影響力のある欠陥を根絶するという彼の使命を推進することです。

「ソフトウェア業界全体を支えている小さな釘がどこにあるのか、私たちは知らないかもしれません」と彼は言います。 「それは、GitHub で 15 個のスターを獲得している、誰も知らない小さなソフトウェアの XNUMX つかもしれませんが、インターネット全体を支えています。 では、誰も知らないが、サプライチェーン全体にとって何らかの形で重要なプロジェクトをどのように確保するのでしょうか?」

フェローシップ期間中の彼の研究は、特定のセキュリティ脆弱性について必ずしも深く掘り下げるのではなく、特定のタイプの脆弱性を調べ、多くの異なる場所で同じ欠陥を見つける自動化された方法を開発するという彼のニッチにさらに近づくのに役立ったと言います。オープンソース エコシステム全体。 これは、彼を最新のギグに導いたオメガの精神と完全に一致しています。

彼は改良をサポートし続けます 自動化された方法 データ フローと制御の分析と自動プル リクエスト生成の欠陥を突き止めるため。 しかし、彼はまた、共同作業という非常に手作業の作業を継続する予定です。 彼が昨年学んだ重要な教訓の XNUMX つは、彼と彼のアルファオメガ チームの前にある多くの仕事は、必ずしも技術的なものではないということです。 メンテナーとの関係を構築して、プロジェクトの単純な修正でさえ、グローバルなソフトウェア サプライ チェーンのセキュリティ体制に大きな影響を与えることがあるということをメンテナーが理解できるようにします。

「技術者やソフトウェア関係者の皆さん、私たちは常に人間的な要素を愛しているわけではありません。実際の人間とやり取りするよりも、座ってこのことを検出し、それを壁に投げつけるコード行を書く方が簡単です。そして、これは修正する価値のあることだと彼らに納得させてください」と彼は言います。

彼は、昨年の XNUMX つの事例がこの点を完全に示していると説明しています。 この場合、彼は、ダウンストリームに大きな影響を与える XNUMX 年前のリモート コード実行の欠陥を持つ YAML パーサーのメンテナーと協力しました。 長い間、Leitschuh がこの件について彼に連絡したとき、メンテナーは彼に次のように言いました。 これは私の脆弱性ではありません。」

最後に、多くの技術的な議論が行われたビデオ通話でメンテナーを座らせた後、Leitschuh は、彼が要求した変更が非常に限定的であり、大きな影響を与える可能性があることを彼に示すことができました。

「それで、彼はこの YAML パーサーの XNUMX 年前のリモート コード実行の脆弱性を修正することをいとわないようになりました。なぜなら、私のような誰かがビデオ通話で彼と一緒に座って、最終的に彼と会話をして、彼が必要とする最低限のことを彼に納得させたからです。より安全にする必要がありました」と彼は言います。

Leitschuh は脆弱性をダウンストリームで自動的に修正できたかもしれませんが、より洗練された修正は代わりにこの議論を行うことでした。

「腰を据えて、この XNUMX つのソフトウェアに集中して、このメンテナーを説得​​しようとする価値があると思いました。 こうした会話をすることで、業界全体に大きなプラスの影響を与えることができます」と彼は言います。 「その時点で、地面にブーツが必要です。 座って、実際の人と関わるのに必要な時間を費やすには、自分が話していることを知っている人が必要です。」

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/dr-tech/software-supply-chain-security-needs-bigger-picture