Складний лабіринт залежностей із відкритим кодом у глобальному ланцюжку постачання програмного забезпечення створив головоломку безпеки додатків гігантських масштабів. Незалежно від того, відкритого чи закритого, більшість програмного забезпечення в світі сьогодні побудовано на сторонніх компонентах і бібліотеках. Отже, одна частина вразливого коду навіть у найменших проектах з відкритим кодом може мати ефект доміно, який вплине на тисячі інших програм, API, компоненти хмарної інфраструктури тощо.
Ця проблема стає однією з найбільш нагальних проблем безпеки для CISO сьогодні, і на рівні окремого підприємства організації наполегливо працюють над її вирішенням за допомогою таких проектів, як розбудова програмне забезпечення (SBOMs), встановлення стандартів управління безпекою з відкритим кодом і створення технічні огородження для забудовників щоб слідувати за ними.
Але ці зусилля не обов’язково вирішують проблему на більш системному рівні. На думку багатьох експертів у спільноті з відкритим кодом, для того, щоб зробити найбільший прорив у ланцюжку поставок, потрібно докласти більше зусиль, щоб допомогти супроводжувачам проектів з відкритим кодом. очистити свій код.
Це мета Проект «Альфа-Омега».. Наступного місяця Alpha-Omega — це масштабний проект із безпеки, створений Open Source Security Foundation (OpenSSF) та його материнською організацією Linux Foundation, щоб вирішити фундаментальні проблеми безпеки ланцюга постачання програмного забезпечення.
Команда Альфа сторона проекту зосереджена на співпраці з розробниками проектів з відкритим вихідним кодом, які є найбільш критичними для ширшого ланцюжка поставок — включаючи такі відомі люди, як node і jQquery — щоб допомогти їм підвищити рівень безпеки свого коду. Це проекти, відібрані вручну робочою групою OpenSSF Securing Critical Projects з використанням експертних думок і даних контрольних тестів, як-от Open SSF Criticality Score, щоб визначити проекти з найбільшим впливом на подальшу обробку.
Команда омега сторона проекту звертається до довгого хвоста безпеки ланцюга постачання програмного забезпечення, використовуючи автоматизацію та інструменти для виявлення критичних вразливостей безпеки в ряді з 10,000 XNUMX широко розгорнутих проектів з відкритим кодом. Це спроба збільшити масштаби виправлення найнижчих, найбільш очевидних недоліків, які поширені в ланцюжку поставок.
Спочатку фінансована Google і Microsoft, а також додаткова підтримка інструментів і персоналу від фінансового гіганта Citi, Alpha-Omega завершила 2022 рік, залучивши додаткові 2.5 мільйона доларів від AWS. Що ще важливіше, проект готується до 2023 року з двома новими критично важливими працівниками — Єсенією Ісер, яка раніше працювала інженером із безпеки продуктів для Red Hat, і Джонатаном Лейтшухом, який щойно завершив свою один рік як перший стипендіат Дена Камінського для безпеки людини. Ісер займає посаду старшого інженера з безпеки програмного забезпечення, а Лейтшу продовжить свої дослідження автоматизація досліджень безпеки з відкритим кодом і виправлення як старший дослідник безпеки програмного забезпечення.
Перший рік проекту Альфа-Омега
Цей проект є одним із кількох резонансних проектів у сфері безпеки, ініційованих і зібрано OpenSSF і Linux Foundation минулого року для вирішення системних проблем безпеки з відкритим кодом. Дотримуючись успішної моделі організації для швидкого фінансування та дій щодо проектів безпеки, Альфа-Омега вже досягла успіху на низці важливих фронтів.
Згідно з першим річним звітом проекту, проект уже співпрацює з п’ятьма різними проектами з відкритим кодом: Node.js, Eclipse Foundation, Rust Foundation, jQuery та Python Software Foundation. Протягом 2022 року Alpha-Omega виділив 1.5 мільйона доларів США у вигляді грантів на різні проекти, у тому числі 460,000 400,000 доларів для Rust Foundation, 300,000 20 доларів для Eclipse Foundation і XNUMX XNUMX доларів для Node. У випадку з Node ця підтримка допомогла відновити робочу групу Node Security Working Group і змусити її працювати над моделлю безпеки та загроз для Node.js, а також спонукала до сортування XNUMX різних звітів про вразливості в кодовій базі проекту.
Крім того, Alpha-Omega нещодавно випустила початкову версію Omega Analysis Toolchain, яка керує 27 різними аналізаторами безпеки для виявлення критичних уразливостей у пакетах з відкритим кодом. Проект також випустив низку експериментальних інструментів, у тому числі сортувальний портал для підвищення ефективності дослідження безпеки та звітування.
За рік два проект планує прискорити роботу зі сторони будинку Омега.
Що 2023 рік підготував для проекту
Додавання Ізера та Лейчуха до проекту Альфа-Омега не лише додасть більше інтелекту, часу та таланту до існуючих зусиль, але й додасть великого ентузіазму щодо безпеки з відкритим кодом.
«Програмне забезпечення з відкритим вихідним кодом є в кожному обладнанні, яке використовується сьогодні, від наших автомобілів, літаків, телефонів, трекерів і навіть комунальних систем», — каже Ісер, який має глибоке коріння в DevSecOps і світі ланцюга поставок програмного забезпечення. На своїй посаді в Red Hat вона була технічним керівником ланцюга поставок. «Бачення проекту має глобальний вплив на покращення стану безпеки програмного забезпечення з відкритим кодом, безпеки ланцюга постачання та життя людей у всьому світі».
Вона безпосередньо працюватиме над удосконаленням інструментарію Omega та порталу сортування, щоб допомогти розробити покращення в тому, як проекти та впливи вразливостей аналізуються та визначають пріоритети для пом’якшення.
«Ціль цього року для ланцюга інструментів Omega полягатиме в тому, щоб мати оперативну систему, яку зможе використовувати супроводжувач або розробник», — каже вона. «Мета порталу Triage Portal полягатиме в тому, щоб підтримати здатність дослідника сортувати виявлену знахідку шляхом імпорту звіту SARIF на портал і проводити дослідження в системі. Система залишатиметься обмеженою для команди Alpha-Omega, доки не буде зазначено інше, але завдяки програмному забезпеченню з відкритим кодом дослідник може запускати власний екземпляр і надсилати запити на отримання до репозиторію та підтримувати загальну місію».
Вона тісно співпрацюватиме з Лейтшухом, який має значний і дуже свіжий досвід у сфері масштабування та автоматизації виправлень у проектах з відкритим кодом. Минулого року він працював над цією проблемою. Його мета — продовжувати роботу, яку він виконував там, і використовувати те, що він навчився, для просування своєї місії з викорінення найбільш поширених і вражаючих недоліків, які ховаються в широкому смузі проектів з відкритим кодом.
«Ми можемо не знати, де ті маленькі кілочки, які стримують існування всієї індустрії програмного забезпечення», — каже він. «Це може бути одна з тих крихітних частинок програмного забезпечення, яке має 15 зірок на GitHub, про яке ніхто не знає, але воно затримує весь Інтернет. Отже, як ми захистимо ті проекти, про які ніхто не знає, але якимось чином є фундаментальними для всього ланцюжка поставок?»
Він каже, що його робота під час стипендії допомогла йому глибше засвоїти свою нішу: не обов’язково заглиблюватися в будь-яку вразливість безпеки, а натомість розглядати певний тип уразливості та розробляти автоматизовані способи пошуку тієї самої вади в багатьох різних місцях. в екосистемі з відкритим кодом. Це ідеально узгоджується з духом Omega, що й привело його до його останнього концерту.
Він продовжить підтримувати вдосконалення автоматизовані методи для усунення недоліків в аналізі потоку даних і контролю та автоматичного створення запитів на отримання. Але він також збирається продовжувати ручну роботу співпраці. Один із важливих уроків, які він засвоїв минулого року, полягає в тому, що багато роботи, яка попереду на нього та його команду Alpha-Omega, не обов’язково є технічною. Налагодження стосунків із супроводжуючими полягає в тому, щоб допомогти їм побачити, як інколи навіть прості виправлення їхніх проектів можуть мати величезний вплив на безпеку глобального ланцюга постачання програмного забезпечення.
«Технологи та спеціалісти з програмного забезпечення, ми не завжди любимо людський фактор — нам легше сісти й написати рядок коду, який виявляє це, і перекинути його через стіну, ніж нам спілкуватися з реальною людиною. і спробуйте переконати їх, що це річ, яку варто виправити», — каже він.
Він пояснює, як один випадок минулого року чудово ілюструє цю думку. У цьому випадку він працював із супроводжуючим синтаксичним аналізатором YAML, який мав шестирічний недолік віддаленого виконання коду, який мав значний вплив на низхідну течію. Протягом тривалого часу, коли Лейтшу звертався до нього з цього приводу, супроводжуючий казав йому: «Не довіряйте ненадійному YAML. Це не моя вразливість».
Нарешті, після відеодзвінка з супроводжувачем, який супроводжувався багатьма технічними дебатами, Лейтшух зміг показати йому, що зміна, яку він просив, була надзвичайно вузькою та могла мати величезний вплив.
«Тож він тепер готовий виправити цю шестирічну давнину вразливість віддаленого виконання коду в цьому синтаксичному аналізаторі YAML, тому що хтось, як я, нарешті посів із ним відеодзвінок і поговорив з ним, щоб переконати його в тому, що він потрібно зробити, щоб зробити його більш безпечним», – каже він.
У той час як Лейтшух міг автоматизувати виправлення вразливості на нижчому етапі, більш елегантним виправленням було це обговорення.
«Я подумав, що мені варто було б сісти й витратити час, зосереджуючись на цьому єдиному програмному забезпеченні, щоб спробувати переконати цього супроводжуючого. Такі розмови матимуть ширший позитивний вплив на всю галузь», — каже він. «У цей момент вам просто потрібні черевики на землі. Вам потрібні люди, які знають, про що говорять, щоб сісти та провести час, необхідний для спілкування з реальною людиною».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://www.darkreading.com/dr-tech/software-supply-chain-security-needs-bigger-picture
- 000
- 10
- 2022
- 2023
- 7
- a
- здатність
- Здатний
- МЕНЮ
- про це
- прискорювати
- За
- через
- дію
- доповнення
- Додатковий
- адреса
- після
- попереду
- літаки
- вже
- завжди
- аналіз
- та
- Ювілей
- щорічний
- Інтерфейси
- додаток
- захист додатків
- застосування
- ПЛОЩА
- навколо
- автоматичний
- Автоматизований
- автоматизація
- Автоматизація
- AWS
- база
- ведмідь
- оскільки
- становлення
- тести
- більший
- найбільший
- Банкноти
- Черевики
- Приносить
- Створюємо
- побудований
- call
- випадок
- певний
- ланцюг
- зміна
- Citi
- близько
- закрито
- хмара
- інфраструктура хмари
- код
- кодова база
- співробітництво
- співробітництво
- співтовариство
- Компоненти
- Турбота
- Отже
- продовжувати
- триває
- контроль
- Розмова
- розмови
- переконати
- може
- Курс
- створений
- створення
- критичний
- вирішальною мірою
- дані
- дебати
- глибокий
- розгорнути
- Визначати
- Розробник
- розвивається
- DID
- різний
- безпосередньо
- відкритий
- обговорення
- вниз
- під час
- легше
- екосистема
- ефект
- ефективний
- зусилля
- зусилля
- займатися
- зайнятий
- інженер
- підприємство
- ентузіазм
- Весь
- обладнання
- налагодження
- Етос
- Навіть
- виконання
- існуючий
- досвід
- експерт
- experts
- Пояснює
- надзвичайно
- в кінці кінців
- фінансовий
- виявлення
- Перший
- виправляти
- недолік
- недоліки
- потік
- увагу
- фокусування
- стежити
- після
- раніше
- фонд
- свіжий
- від
- фундаментальний
- фінансування
- далі
- покоління
- отримати
- гігант
- GitHub
- Глобальний
- мета
- буде
- гранти
- Земля
- Group
- обробляти
- Жорсткий
- hat
- має
- допомога
- допоміг
- допомогу
- гучний
- наймає
- хіт
- проведення
- Головна
- будинок
- Як
- HTTPS
- величезний
- людина
- Людський елемент
- ідентифікувати
- ідентифікує
- Impact
- вражаючий
- Вплив
- важливо
- імпорт
- поліпшення
- поліпшення
- in
- У тому числі
- індивідуальний
- промисловість
- Інфраструктура
- початковий
- спочатку
- екземпляр
- замість
- інтернет
- дослідження
- питання
- питання
- IT
- jQuery
- тримати
- Знати
- великий
- останній
- Минулого року
- вести
- вчений
- Led
- Уроки
- рівень
- Важіль
- libraries
- обмеженою
- Лінія
- Linux
- основи linux
- трохи
- Місце проживання
- Довго
- багато часу
- шукати
- серія
- любов
- made
- зробити
- управління
- керівництво
- ручна робота
- багато
- Microsoft
- мільйона
- мінімальний
- Місія
- пом'якшення
- модель
- місяць
- більше
- більш ефективний
- найбільш
- переміщення
- обов'язково
- Необхідність
- потреби
- Нові
- новітній
- наступний
- вузол
- Node.js
- Помітний
- зазначив,
- номер
- Очевидний
- ONE
- відкрити
- з відкритим вихідним кодом
- Думка
- порядок
- організація
- організації
- Інше
- інакше
- загальний
- власний
- пакети
- Минуле
- Люди
- людина
- Персонал
- телефони
- картина
- частина
- частин
- місця
- плани
- plato
- Інформація про дані Платона
- PlatoData
- Plenty
- точка
- Портал
- положення
- позитивний
- підготовка
- поширений
- пріоритетні
- Проблема
- Product
- проект
- проектів
- put
- головоломка
- Python
- діапазон
- швидко
- RE
- нещодавно
- червоний
- Red Hat
- Відносини
- випущений
- залишатися
- віддалений
- звітом
- Звітність
- Звіти
- Сховище
- запросити
- запитів
- вимагається
- дослідження
- дослідник
- вкорінення
- прогін
- біг
- Іржа
- то ж
- шкала
- Масштабування
- безпечний
- забезпечення
- безпеку
- уразливості безпеки
- старший
- кілька
- Показувати
- сторона
- значний
- простий
- Сидячий
- So
- Софтвер
- ВИРІШИТИ
- Хтось
- Source
- витрачати
- відпрацьований
- стандартів
- Зірки
- заходи
- зберігати
- представляти
- успішний
- поставка
- ланцюжка поставок
- підтримка
- Підтримуючий
- система
- системний
- Systems
- талант
- говорити
- команда
- технічний
- технологів
- Команда
- Площа
- Проекти
- світ
- їх
- річ
- третя сторона
- У цьому році
- думка
- тисячі
- загроза
- час
- до
- сьогодні
- разом
- інструмент
- інструменти
- трекери
- Довіряйте
- us
- використання
- утиліта
- версія
- через
- Відео
- бачення
- Уразливості
- вразливість
- Вразливий
- способи
- Що
- Чи
- який
- ВООЗ
- широкий
- широко
- ширше
- волі
- готовий
- в
- Work
- працював
- робочий
- Робоча група
- світ
- вартість
- Загорнуті
- запис
- ямл
- рік
- Ти
- зефірнет