Безпека ланцюга постачання програмного забезпечення потребує ширшого уявлення

Складний лабіринт залежностей із відкритим кодом у глобальному ланцюжку постачання програмного забезпечення створив головоломку безпеки додатків гігантських масштабів. Незалежно від того, відкритого чи закритого, більшість програмного забезпечення в світі сьогодні побудовано на сторонніх компонентах і бібліотеках. Отже, одна частина вразливого коду навіть у найменших проектах з відкритим кодом може мати ефект доміно, який вплине на тисячі інших програм, API, компоненти хмарної інфраструктури тощо.

Ця проблема стає однією з найбільш нагальних проблем безпеки для CISO сьогодні, і на рівні окремого підприємства організації наполегливо працюють над її вирішенням за допомогою таких проектів, як розбудова програмне забезпечення (SBOMs), встановлення стандартів управління безпекою з відкритим кодом і створення технічні огородження для забудовників щоб слідувати за ними.

Але ці зусилля не обов’язково вирішують проблему на більш системному рівні. На думку багатьох експертів у спільноті з відкритим кодом, для того, щоб зробити найбільший прорив у ланцюжку поставок, потрібно докласти більше зусиль, щоб допомогти супроводжувачам проектів з відкритим кодом. очистити свій код.

Це мета Проект «Альфа-Омега».. Наступного місяця Alpha-Omega — це масштабний проект із безпеки, створений Open Source Security Foundation (OpenSSF) та його материнською організацією Linux Foundation, щоб вирішити фундаментальні проблеми безпеки ланцюга постачання програмного забезпечення.

Команда Альфа сторона проекту зосереджена на співпраці з розробниками проектів з відкритим вихідним кодом, які є найбільш критичними для ширшого ланцюжка поставок — включаючи такі відомі люди, як node і jQquery — щоб допомогти їм підвищити рівень безпеки свого коду. Це проекти, відібрані вручну робочою групою OpenSSF Securing Critical Projects з використанням експертних думок і даних контрольних тестів, як-от Open SSF Criticality Score, щоб визначити проекти з найбільшим впливом на подальшу обробку.

Команда омега сторона проекту звертається до довгого хвоста безпеки ланцюга постачання програмного забезпечення, використовуючи автоматизацію та інструменти для виявлення критичних вразливостей безпеки в ряді з 10,000 XNUMX широко розгорнутих проектів з відкритим кодом. Це спроба збільшити масштаби виправлення найнижчих, найбільш очевидних недоліків, які поширені в ланцюжку поставок.

Спочатку фінансована Google і Microsoft, а також додаткова підтримка інструментів і персоналу від фінансового гіганта Citi, Alpha-Omega завершила 2022 рік, залучивши додаткові 2.5 мільйона доларів від AWS. Що ще важливіше, проект готується до 2023 року з двома новими критично важливими працівниками — Єсенією Ісер, яка раніше працювала інженером із безпеки продуктів для Red Hat, і Джонатаном Лейтшухом, який щойно завершив свою один рік як перший стипендіат Дена Камінського для безпеки людини. Ісер займає посаду старшого інженера з безпеки програмного забезпечення, а Лейтшу продовжить свої дослідження автоматизація досліджень безпеки з відкритим кодом і виправлення як старший дослідник безпеки програмного забезпечення.

Перший рік проекту Альфа-Омега

Цей проект є одним із кількох резонансних проектів у сфері безпеки, ініційованих і зібрано OpenSSF і Linux Foundation минулого року для вирішення системних проблем безпеки з відкритим кодом. Дотримуючись успішної моделі організації для швидкого фінансування та дій щодо проектів безпеки, Альфа-Омега вже досягла успіху на низці важливих фронтів.

Згідно з першим річним звітом проекту, проект уже співпрацює з п’ятьма різними проектами з відкритим кодом: Node.js, Eclipse Foundation, Rust Foundation, jQuery та Python Software Foundation. Протягом 2022 року Alpha-Omega виділив 1.5 мільйона доларів США у вигляді грантів на різні проекти, у тому числі 460,000 400,000 доларів для Rust Foundation, 300,000 20 доларів для Eclipse Foundation і XNUMX XNUMX доларів для Node. У випадку з Node ця підтримка допомогла відновити робочу групу Node Security Working Group і змусити її працювати над моделлю безпеки та загроз для Node.js, а також спонукала до сортування XNUMX різних звітів про вразливості в кодовій базі проекту.

Крім того, Alpha-Omega нещодавно випустила початкову версію Omega Analysis Toolchain, яка керує 27 різними аналізаторами безпеки для виявлення критичних уразливостей у пакетах з відкритим кодом. Проект також випустив низку експериментальних інструментів, у тому числі сортувальний портал для підвищення ефективності дослідження безпеки та звітування.

За рік два проект планує прискорити роботу зі сторони будинку Омега.

Що 2023 рік підготував для проекту

Додавання Ізера та Лейчуха до проекту Альфа-Омега не лише додасть більше інтелекту, часу та таланту до існуючих зусиль, але й додасть великого ентузіазму щодо безпеки з відкритим кодом.

«Програмне забезпечення з відкритим вихідним кодом є в кожному обладнанні, яке використовується сьогодні, від наших автомобілів, літаків, телефонів, трекерів і навіть комунальних систем», — каже Ісер, який має глибоке коріння в DevSecOps і світі ланцюга поставок програмного забезпечення. На своїй посаді в Red Hat вона була технічним керівником ланцюга поставок. «Бачення проекту має глобальний вплив на покращення стану безпеки програмного забезпечення з відкритим кодом, безпеки ланцюга постачання та життя людей у ​​всьому світі».

Вона безпосередньо працюватиме над удосконаленням інструментарію Omega та порталу сортування, щоб допомогти розробити покращення в тому, як проекти та впливи вразливостей аналізуються та визначають пріоритети для пом’якшення.

«Ціль цього року для ланцюга інструментів Omega полягатиме в тому, щоб мати оперативну систему, яку зможе використовувати супроводжувач або розробник», — каже вона. «Мета порталу Triage Portal полягатиме в тому, щоб підтримати здатність дослідника сортувати виявлену знахідку шляхом імпорту звіту SARIF на портал і проводити дослідження в системі. Система залишатиметься обмеженою для команди Alpha-Omega, доки не буде зазначено інше, але завдяки програмному забезпеченню з відкритим кодом дослідник може запускати власний екземпляр і надсилати запити на отримання до репозиторію та підтримувати загальну місію».

Вона тісно співпрацюватиме з Лейтшухом, який має значний і дуже свіжий досвід у сфері масштабування та автоматизації виправлень у проектах з відкритим кодом. Минулого року він працював над цією проблемою. Його мета — продовжувати роботу, яку він виконував там, і використовувати те, що він навчився, для просування своєї місії з викорінення найбільш поширених і вражаючих недоліків, які ховаються в широкому смузі проектів з відкритим кодом.

«Ми можемо не знати, де ті маленькі кілочки, які стримують існування всієї індустрії програмного забезпечення», — каже він. «Це може бути одна з тих крихітних частинок програмного забезпечення, яке має 15 зірок на GitHub, про яке ніхто не знає, але воно затримує весь Інтернет. Отже, як ми захистимо ті проекти, про які ніхто не знає, але якимось чином є фундаментальними для всього ланцюжка поставок?»

Він каже, що його робота під час стипендії допомогла йому глибше засвоїти свою нішу: не обов’язково заглиблюватися в будь-яку вразливість безпеки, а натомість розглядати певний тип уразливості та розробляти автоматизовані способи пошуку тієї самої вади в багатьох різних місцях. в екосистемі з відкритим кодом. Це ідеально узгоджується з духом Omega, що й привело його до його останнього концерту.

Він продовжить підтримувати вдосконалення автоматизовані методи для усунення недоліків в аналізі потоку даних і контролю та автоматичного створення запитів на отримання. Але він також збирається продовжувати ручну роботу співпраці. Один із важливих уроків, які він засвоїв минулого року, полягає в тому, що багато роботи, яка попереду на нього та його команду Alpha-Omega, не обов’язково є технічною. Налагодження стосунків із супроводжуючими полягає в тому, щоб допомогти їм побачити, як інколи навіть прості виправлення їхніх проектів можуть мати величезний вплив на безпеку глобального ланцюга постачання програмного забезпечення.

«Технологи та спеціалісти з програмного забезпечення, ми не завжди любимо людський фактор — нам легше сісти й написати рядок коду, який виявляє це, і перекинути його через стіну, ніж нам спілкуватися з реальною людиною. і спробуйте переконати їх, що це річ, яку варто виправити», — каже він.

Він пояснює, як один випадок минулого року чудово ілюструє цю думку. У цьому випадку він працював із супроводжуючим синтаксичним аналізатором YAML, який мав шестирічний недолік віддаленого виконання коду, який мав значний вплив на низхідну течію. Протягом тривалого часу, коли Лейтшу звертався до нього з цього приводу, супроводжуючий казав йому: «Не довіряйте ненадійному YAML. Це не моя вразливість».

Нарешті, після відеодзвінка з супроводжувачем, який супроводжувався багатьма технічними дебатами, Лейтшух зміг показати йому, що зміна, яку він просив, була надзвичайно вузькою та могла мати величезний вплив.

«Тож він тепер готовий виправити цю шестирічну давнину вразливість віддаленого виконання коду в цьому синтаксичному аналізаторі YAML, тому що хтось, як я, нарешті посів із ним відеодзвінок і поговорив з ним, щоб переконати його в тому, що він потрібно зробити, щоб зробити його більш безпечним», – каже він.

У той час як Лейтшух міг автоматизувати виправлення вразливості на нижчому етапі, більш елегантним виправленням було це обговорення.

«Я подумав, що мені варто було б сісти й витратити час, зосереджуючись на цьому єдиному програмному забезпеченні, щоб спробувати переконати цього супроводжуючого. Такі розмови матимуть ширший позитивний вплив на всю галузь», — каже він. «У цей момент вам просто потрібні черевики на землі. Вам потрібні люди, які знають, про що говорять, щоб сісти та провести час, необхідний для спілкування з реальною людиною».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://www.darkreading.com/dr-tech/software-supply-chain-security-needs-bigger-picture