Varför Google-Backed Secure Open Source-programmet är så viktigt

0
56
Kamira/Shutterstock

Attacker i försörjningskedjan skjuter i höjden och projekt med öppen källkod är den vanligaste infiltrationspunkten. Linux Foundation, sponsrat av Google, hjälper projekt med öppen källkod att skydda sig själva — och alla andra.

Supply Chain Attacks

Fram till helt nyligen, om du var inblandad i cybersäkerhet och befann dig försöka förklara attackkedjeanfall för någon, använde du antagligen Stuxnet -attacken som ett exempel. Nu har du ett antal exempel att välja mellan.

Alla har hört talas om Solarwinds- och Codecov-attackerna för att de var rubricerande, sofistikerade attacker med en bred räckvidd. Men dessa två exempel är en droppe i havet av attacker av denna typ.

Supply chain attacker förgiftar buffén. Den som äter från buffén konsumerar giftet. Bufféns värd är inte målet. Målen är alla som är inbjudna till högtiden. Om angriparna kan äventyra en verktygslåda eller ett bibliotek som används i många andra applikationer och system har de lyckats äventyra alla användare av de andra produkterna.

Produkter med öppen källkod och sluten källa är båda i fara. Det har till och med förekommit fall där bärbara datorer producerades med hårddiskbilder klonade från en komprometterad gyllene bild och bakade skadlig kod direkt i hårdvaran.

Annonsering

Men eftersom projekt med öppen källkod ger alla tillgång till källkoden och möjligheten att skicka bidrag till projektet, är de en idealisk attackvektor för cyberkriminella. Och inriktning på öppen källkod blir allt mer attraktiv eftersom användningen av öppen källkodskomponenter fortsätter att snöboll. Nästan alla icke-triviala utvecklingsprojekt använder tillgångar med öppen källkod. Den moderna världens digitala infrastruktur bygger på öppen källkod.

Enligt en rapport från Sonatype accelererar användningen av öppen källkod fortfarande. Det är bra för öppen källkod. Det som inte är så stort är den samtidiga ökningen i attackkedjeangrepp som använder öppen källkod som dess attackvektor. Det har skett en 650% ökning av attackkedjan attacker från år till år, inklusive beroendeförvirring, stavfel och kodinjektion.

Vi har tidigare beskrivit steg du kan vidta internt för att försöka begränsa din exponering för attacker i leveranskedjan, med hjälp av verktyg som preflight. Vi har också rapporterat om program som implementeras på branschnivå, till exempel Linux Foundation's sigstore -initiativ som utvecklas gemensamt av Google, Red Hat och Purdue University, IN.

Programmet Secure Open Source är ett nytt initiativ som drivs av Linux Foundation med en sponsring på 1 miljon dollar från Google Open Source Security Team.

Secure Open Source Rewards < /h2>

Pilotprogrammet är inriktat på att öka säkerheten för kritiska projekt med öppen källkod. Definitionen av kritisk är den amerikanska regeringens definition, som utarbetades för att komplettera verkställande order 14028. Deras definition rankar programvaran som kritisk om en eller flera av dess programvarukomponenter har något av följande attribut:

< ul>

  • Den är utformad för att köras med förhöjda privilegier eller hantera privilegier
  • Den har direkt eller privilegierad åtkomst till nätverks- eller datorresurser
  • Den är utformad för att styra åtkomst till data eller operativ teknik
  • Den utför en kritisk funktion för förtroende
  • Den fungerar utanför normala förtroendegränser med privilegierad åtkomst
  • En annan viktig faktor är problemets potentiella inverkan på konsumenterna av programvaran. Vem påverkas, i vilka siffror och hur? Om den aktuella programvaran integreras i andra projekt med öppen källkod kommer dess inverkan att bli större än om den är en fristående applikation. Och ju mer populär en given komponent är, desto mer attraktiv är den för en attack i kedjan.

    Det är därför dessa kriterier också kommer att beaktas:

    • Hur många och vilka typer av användare kommer att påverkas av säkerhetsförbättringarna?
    • Kommer förbättringarna att ha en betydande inverkan på infrastruktur och användarsäkerhet?
    • Om projektet skulle äventyras, hur allvarligt eller omfattande skulle konsekvenserna vara?
    • Ingår projektet i Harvard 2 Census Study av de mest använda paketen, eller har det ett OpenSSF Critically Score på 0,6 eller mer?

    Annonsering

    I stora drag kan ett mjukvaruprojekt ansöka om medel för att de ska kunna åtgärda ett säkerhetsproblem. Ansökan granskas och ämnen som hur kritiskt projektet är, vad åtgärden eller förbättringarna är och vilka som ska utföra arbetet övervägs. De utvärderande styrelseledamöterna kommer att vara Linux Foundation och Google Open Source Security Team -personal.

    För att ses positivt bör ett förslag innehålla förbättringar från den här listan:

    • Härdning av leveranskedjan , inklusive CI/CD-rörledningar och distributionsinfrastruktur i enlighet med ramverket Supply-chain Levels for Software Artifacts (SLSA).
    • Anta tekniker för signering och verifiering av programvaruartefakter, till exempel sigstore-verktygen.
    • Projektförbättringar som resulterar i ett högre OpenSSF Scorecard -resultat. Scorecard upptäcker och listar beroenden med projekt med öppen källkod.
    • Använda OpenSSF Allstar för att härda GitHub-arkiv.
    • Tjäna ett CII Best Practice-märke genom att anta branschens bästa arbetsmetoder.

    Belöningarna bandas och delas ut efter komplexiteten och förtjänsterna av säkerhetsförbättringarna och den potentiella effekten av en framgångsrik attack på det större samhället.

    • 10 000 dollar eller mer : Komplicerade, kraftfulla och varaktiga förbättringar som nästan säkert förhindrar stora sårbarheter i den berörda koden eller stödjande infrastruktur
    • $ 5 000-$ 10 000 : Måttligt komplexa förbättringar som erbjuder övertygande säkerhetsfördelar < /li>
    • $ 1000- $ 5000 : Inlagor av blygsam komplexitet och påverkan
    • $ 505 : Små förbättringar som ändå har förtjänst ur säkerhetssynpunkt < /li>

    Rapporteringsmekanismer måste enas om och följas. Dessa kommer att övervaka framstegen med korrigeringarna och verifiera att de faktiskt äger rum. Det här är inte bara gratis pengar.

    Why This Matters

    Sonatype-rapporten läser “ &#8230 ; vi förväntar oss att angripare kommer att fortsätta att rikta uppåtgående programvaruförsörjningskedjetillgångar som en föredragen väg för att utnyttja nedströms offer i stor skala. ”

    På grund av den utbredda användningen av öppen källkod i utvecklingen av öppna och egenutvecklade produkter är denna skala enorm. Öppen källkod har genomsyrat den tekniska strukturen i vår moderna värld i en häpnadsväckande grad. Faktum är att det tekniska tyget nu helt och hållet är beroende av öppen källkod.

    Annonsering

    Initiativ som sigstore och Allstar har utformats för att ge hjälp till hela rörelsen med öppen källkod. Andra verktyg som preflight används på konsumentnivå. Detta nya initiativ kompletterar både tillvägagångssätt och angriper problemet i själva roten.

    Om du förbättrar koden och utvecklingsinfrastrukturen och tar bort sårbarheterna blir det färre möjliga utnyttjanden. Det kommer att minska antalet kompromisser.

    Secure Open Source Awards är inte en bug -bounty. Det handlar om att tillhandahålla resurser för att hantera problem. Att åtgärda problem i koden, härda CI/CD-rörledningarna och källkodlagren och använda ett programvara för artefaktsignering och verifieringsschema kommer att förändra positionen med öppen källkod.