Waarom het door Google ondersteunde Secure Open Source-programma zo belangrijk is

0
42
Kamira/Shutterstock

Aanvallen in de toeleveringsketen rijzen de pan uit en open-sourceprojecten zijn het meest voorkomende punt van infiltratie. De Linux Foundation, gesponsord door Google, helpt open-sourceprojecten zichzelf en alle anderen te beschermen.

Supply Chain Attacks

Tot voor kort, als je betrokken was bij cyberbeveiliging en je merkt dat je supply chain-aanvallen probeert uit te leggen aan iemand, dan heb je waarschijnlijk de Stuxnet-aanval als voorbeeld gebruikt. Nu heb je een willekeurig aantal voorbeelden om uit te kiezen.

Iedereen heeft wel eens gehoord van de aanvallen van Solarwinds en Codecov omdat het baanbrekende, geavanceerde aanvallen met een groot bereik waren. Maar deze twee voorbeelden zijn een druppel op een gloeiende plaat van dit soort aanvallen.

Toeleveringsketenaanvallen vergiftigen het buffet. Iedereen die van het buffet eet, consumeert het gif. De gastheer van het buffet is niet het doelwit. De doelen zijn iedereen die is uitgenodigd voor het feest. Als de aanvallers een softwaretoolkit of -bibliotheek kunnen binnendringen die in veel andere toepassingen en systemen wordt gebruikt, zijn ze erin geslaagd alle gebruikers van die andere producten binnen te dringen.

Zowel open source als closed source producten lopen gevaar. Er zijn zelfs gevallen geweest waarin laptops werden geproduceerd met afbeeldingen van de harde schijf die waren gekloond van een gecompromitteerde gouden afbeelding, waardoor malware rechtstreeks in de hardware werd ingebakken.

Advertentie

Maar omdat open-sourceprojecten iedereen toegang geven tot de broncode en de mogelijkheid geven om bijdragen aan het project in te dienen, zijn ze een ideale aanvalsvector voor cybercriminelen. En het richten op open source wordt steeds aantrekkelijker naarmate het gebruik van open source-componenten blijft sneeuwen. Bijna alle niet-triviale ontwikkelingsprojecten maken gebruik van open source-middelen. De digitale infrastructuur van de moderne wereld is afhankelijk van open-source.

Volgens een rapport van Sonatype neemt het gebruik van open-source nog steeds toe. Dat is geweldig voor open source. Wat niet zo geweldig is, is de gelijktijdige toename van supply chain-aanvallen waarbij open source als aanvalsvector wordt gebruikt. Het aantal aanvallen op de toeleveringsketen is jaar op jaar met 650% toegenomen, waaronder afhankelijkheidsverwarring, typosquatting en code-injectie.

We hebben eerder stappen beschreven die u intern kunt nemen om te proberen uw blootstelling aan supply chain-aanvallen te beperken, met behulp van hulpprogramma's zoals preflight. We hebben ook gerapporteerd over programma's die op brancheniveau worden geïmplementeerd, zoals het sigstore-initiatief van de Linux Foundation, dat gezamenlijk wordt ontwikkeld door Google, Red Hat en Purdue University, IN.

Het Secure Open Source-programma is een nieuw initiatief van de Linux Foundation met een sponsoring van $ 1 miljoen van het Google Open Source Security Team.

Secure Open Source Rewards< /h2>

Het proefprogramma is gericht op het verbeteren van de beveiliging van kritieke open-sourceprojecten. De definitie van kritiek is de definitie van de Amerikaanse overheid, die is opgesteld als aanvulling op Executive Order 14028. Hun definitie rangschikt software als kritiek als een of meer van de softwarecomponenten een van de volgende kenmerken heeft:

< ul>

  • Het is ontworpen om te werken met verhoogde bevoegdheden of om bevoegdheden te beheren
  • Het heeft directe of bevoorrechte toegang tot netwerk- of computerbronnen
  • Het is ontworpen om de toegang tot gegevens of operationele technologie te regelen
  • Het vervult een functie die cruciaal is om te vertrouwen
  • Het werkt buiten de normale vertrouwensgrenzen met geprivilegieerde toegang
  • Een andere belangrijke factor is de mogelijke impact van het probleem op de gebruikers van de software. Wie wordt getroffen, in welke aantallen en hoe? Als de software in kwestie wordt geïntegreerd in andere open-sourceprojecten, zal de impact groter zijn dan wanneer het een op zichzelf staande applicatie is. En hoe populairder een bepaald onderdeel is, hoe aantrekkelijker het is voor een supply chain-aanval.

    Daarom zullen ook deze criteria worden overwogen:

    • Hoeveel en welke soorten gebruikers zullen worden beïnvloed door de beveiligingsverbeteringen?
    • Zullen de verbeteringen een significante impact hebben op de infrastructuur en de gebruikersbeveiliging?
    • Als het project in gevaar zou komen, hoe ernstig of verstrekkend zouden de implicaties zijn?
    • Is het project opgenomen in de Harvard 2 Census Study van de meest gebruikte pakketten, of heeft het een OpenSSF Critically Score van 0,6 of meer?

    Advertentie

    In grote lijnen kan een softwareproject fondsen aanvragen om een ​​beveiligingsprobleem op te lossen. De aanvraag wordt beoordeeld en er wordt gekeken naar onderwerpen als hoe kritisch het project is, wat de sanering of verbeteringen zijn en wie het werk gaat doen. De evaluerende bestuursleden zijn de Linux Foundation en het Google Open Source Security Team-personeel.

    Om gunstig te worden beoordeeld, moet een voorstel verbeteringen uit deze lijst bevatten:

    • Verharding van de toeleveringsketen , inclusief CI/CD-pipelines en distributie-infrastructuur in overeenstemming met het Supply-chain Levels for Software Artifacts (SLSA)-framework.
    • Het overnemen van technieken voor het ondertekenen en verifiëren van softwareartefacten, zoals de sigstore-tools.
    • Projectverbeteringen die resulteren in een hoger OpenSSF Scorecard-resultaat. Scorecard detecteert en vermeldt de afhankelijkheden met open-sourceprojecten.
    • Gebruik van OpenSSF Allstar om GitHub-repositories te versterken.
    • Een CII Best Practice-badge verdienen door best practices uit de branche toe te passen.

    De beloningen worden gebundeld en verdeeld op basis van de complexiteit en verdiensten van de beveiligingsverbeteringen en de potentiële impact van een succesvolle aanval op de bredere gemeenschap.

    • $ 10.000 of meer: ingewikkelde, ingrijpende en blijvende verbeteringen die vrijwel zeker grote kwetsbaarheden in de getroffen code of ondersteunende infrastructuur voorkomen
    • $ 5.000-$ 10.000: matig complexe verbeteringen die overtuigende beveiligingsvoordelen bieden< /li>
    • $1.000-$5.000: Inzendingen van bescheiden complexiteit en impact
    • $505: Kleine verbeteringen die niettemin waardevol zijn vanuit een beveiligingsstandpunt< /li>

    Meldingsmechanismen moeten worden overeengekomen en nageleefd. Deze houden de voortgang van de reparaties in de gaten en controleren of ze daadwerkelijk plaatsvinden. Dit is niet alleen gratis geld.

    Waarom dit ertoe doet

    In het Sonatype-rapport staat “&#8230 ;we verwachten dat aanvallers zich blijven richten op upstream software supply chain-activa als een voorkeurspad om downstream-slachtoffers op grote schaal uit te buiten.”

    Vanwege het wijdverbreide gebruik van open source bij de ontwikkeling van open en propriëtaire producten, is die schaal enorm. Open-source is tot een verbazingwekkende mate doorgedrongen in het technologische weefsel van onze moderne wereld. In feite is die technologische structuur nu volledig afhankelijk van open source.

    Advertentie

    Initiatieven zoals sigstore en Allstar zijn ontworpen om de hele open-sourcebeweging te helpen. Andere tools zoals preflight worden ingezet op consumentenniveau. Dit nieuwe initiatief is een aanvulling op beide benaderingen en pakt het probleem bij de wortel aan.

    Als u de code en de ontwikkelingsinfrastructuur verbetert en de kwetsbaarheden verwijdert, zullen er minder mogelijke exploits zijn. Dat zal het aantal compromissen verminderen.

    De Secure Open Source Awards is geen bug bounty. Het gaat om het verstrekken van middelen om problemen aan te pakken. Door problemen in de code aan te pakken, de CI/CD-pipelines en broncoderepository's te versterken en een softwareartefact-ondertekenings- en verificatieschema te gebruiken, verandert de positie waarin open source zich bevindt.