Les attaques de la chaîne d'approvisionnement sont montent en flèche, et les projets open source sont le point d'infiltration le plus courant. La Linux Foundation, parrainée par Google, aide les projets open source à se protéger—et tous les autres.
Attaques de la chaîne d'approvisionnement
Jusqu'à très récemment, si vous étiez impliqué dans la cybersécurité et que vous essayiez d'expliquer les attaques de la chaîne d'approvisionnement à quelqu'un, vous utilisiez probablement l'attaque Stuxnet comme exemple. Maintenant, vous avez le choix parmi un grand nombre d'exemples.
Tout le monde a entendu parler des attaques de Solarwinds et de Codecov, car il s'agissait d'attaques sophistiquées qui ont fait la une des journaux et d'une large portée. Mais ces deux exemples ne sont qu'une goutte dans l'océan d'attaques de ce type.
Les attaques de la chaîne logistique empoisonnent le buffet. Quiconque mange au buffet consomme le poison. L'hôte du buffet n'est pas la cible. Les cibles sont tous ceux qui sont invités à la fête. Si les attaquants peuvent compromettre une boîte à outils logicielle ou une bibliothèque utilisée dans de nombreuses autres applications et systèmes, ils ont réussi à compromettre tous les utilisateurs de ces autres produits.
Les produits open source et fermés sont tous deux à risque. Il y a même eu des cas où des ordinateurs portables ont été produits avec des images de disque dur clonées à partir d'une image dorée compromise, incorporant des logiciels malveillants directement dans le matériel.
Publicité
Mais parce que les projets open source donnent à chacun l'accès au code source et la possibilité de soumettre des contributions au projet, ils constituent un vecteur d'attaque idéal pour les cybercriminels. Et le ciblage de l'open source devient de plus en plus attrayant à mesure que l'utilisation de composants open source continue de faire boule de neige. Presque tous les projets de développement non triviaux utilisent des actifs open source. L'infrastructure numérique du monde moderne repose sur l'open source.
Selon un rapport de Sonatype, l'utilisation de l'open source continue de s'accélérer. C'est parfait pour l'open source. Ce qui n'est pas si important, c'est l'augmentation concomitante des attaques de la chaîne d'approvisionnement utilisant l'open source comme vecteur d'attaque. Il y a eu une augmentation de 650 % des attaques de la chaîne d'approvisionnement d'année en année, y compris la confusion de dépendance, le typosquattage et l'injection de code.
Nous avons décrit précédemment les étapes que vous pouvez suivre en interne pour essayer de limiter votre exposition aux attaques de la chaîne d'approvisionnement, à l'aide d'utilitaires tels que le contrôle en amont. Nous avons également signalé des programmes mis en œuvre au niveau de l'industrie, tels que l'initiative sigstore de la Linux Foundation, qui est développée conjointement par Google, Red Hat et Purdue University, IN.
Le programme Secure Open Source est une nouvelle initiative gérée par la Linux Foundation avec un parrainage d'un million de dollars de l'équipe de sécurité Open Source de Google.
Récompenses Secure Open Source< /h2>
Le programme pilote est axé sur l'amélioration de la sécurité des projets open source critiques. La définition de « critique » est la définition du gouvernement américain, qui a été rédigée pour compléter l'Ordonnance exécutive 14028. Leur définition classe le logiciel comme critique si un ou plusieurs de ses composants logiciels ont l'un des attributs suivants :
< ul>
Un autre facteur important est l'impact potentiel du problème sur les consommateurs du logiciel. Qui sera touché, en quel nombre et comment ? Si le logiciel en question est intégré à d'autres projets open source, son impact sera plus important que s'il s'agit d'une application autonome. Et plus un composant donné est populaire, plus il est attrayant pour une attaque de chaîne d'approvisionnement.
C'est pourquoi ces critères seront également pris en compte :
- Combien et quels types d'utilisateurs seront affectés par les améliorations de la sécurité ?
- Les améliorations auront-elles un impact significatif sur l'infrastructure et la sécurité des utilisateurs ?
- Si le projet était compromis, quelle serait la gravité ou la portée des implications ?
- Le projet est-il inclus dans l'étude de recensement de Harvard 2 sur les packages les plus utilisés, ou a-t-il un score de critique OpenSSF de 0,6 ou plus ?
Publicité
Dans les grandes lignes, un projet de logiciel peut demander des fonds pour lui permettre de rectifier un problème de sécurité. La demande est examinée et des sujets tels que l'importance du projet, les mesures correctives ou les améliorations et qui effectuera le travail sont pris en compte. Les membres du conseil d'administration seront des membres du personnel de la Linux Foundation et de l'équipe de sécurité Open Source de Google.
Pour être considérée favorablement, une proposition doit inclure des améliorations de cette liste :
- Renforcement de la chaîne d'approvisionnement , y compris les pipelines CI/CD et l'infrastructure de distribution conformément au framework SLSA (niveaux de la chaîne d'approvisionnement pour les artefacts logiciels).
- Adopter des techniques de signature et de vérification des artefacts logiciels, telles que les outils sigstore.
- Améliorations du projet qui se traduisent par un résultat de tableau de bord OpenSSF plus élevé. Scorecard détecte et répertorie les dépendances avec les projets Open Source.
- Utilisation d'OpenSSF Allstar pour renforcer les référentiels GitHub.
- Gagner un Badge CII des meilleures pratiques en adoptant les meilleures pratiques de travail du secteur.
Les récompenses sont groupées et distribuées en fonction de la complexité et des mérites des améliorations de sécurité et de l'impact potentiel d'une attaque réussie sur la communauté au sens large.
- 10 000 $ ou plus : améliorations complexes, à fort impact et durables qui empêchent presque certainement des vulnérabilités majeures dans le code affecté ou l'infrastructure de support
- 5 000 $ à 10 000 $ : améliorations modérément complexes qui offrent des avantages de sécurité convaincants< /li>
- 1 000 $ à 5 000 $ : soumissions de complexité et d'impact modestes
- 505 $ : petites améliorations qui ont néanmoins du mérite du point de vue de la sécurité< /li>
Des mécanismes de signalement doivent être convenus et respectés. Ceux-ci surveilleront la progression des correctifs et vérifieront qu'ils sont réellement en cours. Ce n'est pas seulement de l'argent gratuit.
Pourquoi c'est important
Le rapport Sonatype indique “… ; nous nous attendons à ce que les attaquants continuent de cibler les actifs de la chaîne d'approvisionnement logicielle en amont comme voie privilégiée pour exploiter les victimes en aval à grande échelle.”
En raison de l'utilisation généralisée de l'open source dans le développement de produits ouverts et propriétaires, cette échelle est énorme. L'open source a imprégné le tissu technologique de notre monde moderne à un degré étonnant. En fait, ce tissu technologique dépend désormais totalement de l'open-source.
Publicité
Des initiatives comme sigstore et Allstar ont été conçues pour apporter une aide à l'ensemble du mouvement open-source. D'autres outils tels que le contrôle en amont sont déployés au niveau du consommateur. Cette nouvelle initiative complète les deux approches et attaque le problème à sa racine.
Si vous améliorez le code et l'infrastructure de développement et supprimez les vulnérabilités, il y aura moins d'exploits possibles. Cela réduira le nombre de compromis.
Les Secure Open Source Awards ne sont pas une prime aux bogues. Il s'agit de fournir des ressources pour résoudre les problèmes. La résolution des problèmes de code, le renforcement des pipelines CI/CD et des référentiels de code source et l'utilisation d'un système de signature et de vérification des artefacts logiciels transformeront la position dans laquelle se trouve l'open source.