Perché il programma Open Source sicuro supportato da Google è così importante?

0
40
Kamira/Shutterstock

Gli attacchi alla catena di approvvigionamento sono alle stelle e i progetti open source sono il punto di infiltrazione più comune. La Linux Foundation, sponsorizzata da Google, aiuta i progetti open source a proteggere se stessi e tutti gli altri.

Attacchi alla catena di approvvigionamento

Fino a poco tempo fa, se ti occupavi di sicurezza informatica e ti trovavi a cercare di spiegare gli attacchi alla catena di approvvigionamento a qualcuno, probabilmente usavi l'attacco Stuxnet come esempio. Ora hai un numero qualsiasi di esempi tra cui scegliere.

Tutti hanno sentito parlare degli attacchi Solarwinds e Codecov perché erano attacchi sofisticati e di grande portata. Ma questi due esempi sono una goccia nell'oceano di attacchi di questo tipo.

Gli attacchi a catena avvelenano il buffet. Chi mangia dal buffet consuma il veleno. L'ospite del buffet non è l'obiettivo. I bersagli sono tutti coloro che sono invitati alla festa. Se gli aggressori possono compromettere un toolkit software o una libreria utilizzata in molte altre applicazioni e sistemi, sono riusciti a compromettere tutti gli utenti di quegli altri prodotti.

I prodotti open source e closed source sono entrambi a rischio. Ci sono stati persino casi in cui i laptop sono stati prodotti con immagini del disco rigido clonate da un'immagine dorata compromessa, inserendo malware direttamente nell'hardware.

Pubblicità

Ma poiché i progetti open source danno a tutti l'accesso al codice sorgente e la possibilità di inviare contributi al progetto, sono un vettore di attacco ideale per i criminali informatici. E prendere di mira l'open source diventa sempre più attraente man mano che l'uso di componenti open source continua a crescere a dismisura. Quasi tutti i progetti di sviluppo non banali utilizzano risorse open source. L'infrastruttura digitale del mondo moderno si basa sull'open source.

Secondo un rapporto di Sonatype, l'uso dell'open source sta ancora accelerando. È fantastico per l'open source. Ciò che non è così eccezionale è il concomitante aumento degli attacchi alla catena di approvvigionamento che utilizzano l'open source come vettore di attacco. Anno dopo anno, si è verificato un aumento del 650% degli attacchi alla catena di approvvigionamento, inclusi confusione delle dipendenze, typosquatting e iniezione di codice.

Abbiamo precedentemente descritto i passaggi che puoi eseguire internamente per cercare di limitare la tua esposizione agli attacchi della catena di approvvigionamento, utilizzando utilità come il preflight. Abbiamo anche riferito di programmi che vengono implementati a livello di settore, come l'iniziativa sigstore della Linux Foundation, sviluppata congiuntamente da Google, Red Hat e Purdue University, IN.

Il programma Secure Open Source è una nuova iniziativa gestita dalla Linux Foundation con una sponsorizzazione di 1 milione di dollari dal team di sicurezza Open Source di Google.

Secure Open Source Rewards< /h2>

Il programma pilota è focalizzato sul miglioramento della sicurezza dei progetti open source critici. La definizione di critico è la definizione del governo degli Stati Uniti, che è stata redatta per integrare l'ordine esecutivo 14028. La loro definizione classifica il software come critico se uno o più dei suoi componenti software ha uno dei seguenti attributi:

< ul>

  • È progettato per funzionare con privilegi elevati o gestire privilegi
  • Ha accesso diretto o privilegiato alle risorse di rete o di elaborazione
  • È progettato per controllare l'accesso ai dati o alla tecnologia operativa
  • Esegue una funzione fondamentale per la fiducia
  • Funziona al di fuori dei normali confini di fiducia con accesso privilegiato
  • Un altro fattore importante è il potenziale impatto del problema sui consumatori del software. Chi sarà interessato, in che numero e come? Se il software in questione viene incorporato in altri progetti open source, il suo impatto sarà maggiore rispetto a un'applicazione autonoma. E più un determinato componente è popolare, più è attraente per un attacco alla catena di approvvigionamento.

    Ecco perché verranno presi in considerazione anche questi criteri:

    • Quanti e quali tipi di utenti saranno interessati dai miglioramenti della sicurezza?
    • I miglioramenti avranno un impatto significativo sull'infrastruttura e sulla sicurezza degli utenti?
    • Se il progetto fosse compromesso, quanto sarebbero serie o di vasta portata le implicazioni?
    • Il progetto è incluso nello Harvard 2 Census Study dei pacchetti più utilizzati o ha un Punteggio critico di OpenSSF di 0,6 o più?

    Pubblicità

    A grandi linee, un progetto software può richiedere fondi per consentire loro di correggere un problema di sicurezza. La domanda viene esaminata e vengono presi in considerazione argomenti come la criticità del progetto, quali sono le azioni correttive o migliorative e chi farà il lavoro. I membri del comitato di valutazione saranno il personale della Linux Foundation e del team di sicurezza Open Source di Google.

    Per essere considerata positivamente, una proposta dovrebbe includere miglioramenti da questo elenco:

    • Rafforzamento della catena di fornitura , comprese le pipeline CI/CD e l'infrastruttura di distribuzione in linea con il framework Supply-chain Levels for Software Artifacts (SLSA).
    • Adozione di tecniche di firma e verifica degli artefatti software, come gli strumenti sigstore.
    • Miglioramenti del progetto che si traducono in un risultato di OpenSSF Scorecard più elevato. Scorecard rileva ed elenca le dipendenze con i progetti open source.
    • Utilizzando OpenSSF Allstar per rafforzare i repository GitHub.
    • Ottenere un badge di best practice CII adottando le migliori pratiche di lavoro del settore.

    I premi sono suddivisi e distribuiti in base alla complessità e ai meriti dei miglioramenti della sicurezza e al potenziale impatto di un attacco riuscito sulla comunità più ampia.

    • $ 10.000 o più: miglioramenti complicati, di grande impatto e duraturi che quasi certamente prevengono le principali vulnerabilità nel codice interessato o nell'infrastruttura di supporto
    • $ 5.000 – $ 10.000: miglioramenti moderatamente complessi che offrono vantaggi in termini di sicurezza convincenti< /li>
    • $ 1.000-$ 5.000: contributi di modesta complessità e impatto
    • $ 505: piccoli miglioramenti che tuttavia hanno dei meriti dal punto di vista della sicurezza< /li>

    I meccanismi di segnalazione devono essere concordati e rispettati. Questi monitoreranno lo stato di avanzamento delle correzioni e verificheranno che si stiano effettivamente verificando. Questo non è solo denaro gratuito.

    Perché questo è importante

    Il rapporto di Sonatype dice “&#8230 ;prevediamo che gli aggressori continueranno a prendere di mira le risorse della catena di fornitura del software a monte come percorso preferito per sfruttare le vittime a valle su larga scala.”

    A causa dell'uso diffuso dell'open source nello sviluppo di prodotti aperti e proprietari, tale scala è enorme. L'open source ha permeato il tessuto tecnologico del nostro mondo moderno in modo sorprendente. In effetti, quel tessuto tecnologico ora dipende completamente dall'open source.

    Pubblicità

    Iniziative come sigstore e Allstar sono state progettate per fornire aiuto all'intero movimento open source. Altri strumenti come il preflight sono implementati a livello di consumatore. Questa nuova iniziativa integra entrambi gli approcci e attacca il problema alla radice.

    Se migliori il codice e l'infrastruttura di sviluppo e rimuovi le vulnerabilità, ci saranno meno possibili exploit. Ciò ridurrà il numero di compromessi.

    I Secure Open Source Awards non sono una taglia di bug. Si tratta di fornire risorse per affrontare i problemi. Affrontare i problemi nel codice, rafforzare le pipeline CI/CD e i repository di codice sorgente e utilizzare uno schema di firma e verifica degli artefatti software trasformerà la posizione in cui si trova l'open source.