Warum das von Google unterstützte sichere Open-Source-Programm so wichtig ist

0
55
Kamira/Shutterstock

Supply-Chain-Angriffe nehmen rasant zu und Open-Source-Projekte sind der häufigste Angriffspunkt. Die von Google gesponserte Linux Foundation hilft Open-Source-Projekten, sich selbst und alle anderen zu schützen.

Supply Chain Attacks

Wenn Sie bis vor kurzem mit Cybersicherheit zu tun hatten und versuchten, jemandem Angriffe auf die Lieferkette zu erklären, haben Sie wahrscheinlich den Stuxnet-Angriff als Beispiel genommen. Jetzt haben Sie eine beliebige Anzahl von Beispielen zur Auswahl.

Jeder hat von den Angriffen von Solarwinds und Codecov gehört, weil es sich um schlagzeilenträchtige, ausgeklügelte Angriffe mit großer Reichweite handelte. Aber diese beiden Beispiele sind ein Tropfen auf den heißen Stein von Angriffen dieser Art.

Angriffe in der Lieferkette vergiften das Buffet. Wer vom Buffet isst, verzehrt das Gift. Der Gastgeber des Buffets ist nicht das Ziel. Zielscheibe sind alle, die zum Fest eingeladen sind. Wenn die Angreifer ein Software-Toolkit oder eine Bibliothek kompromittieren können, die in vielen anderen Anwendungen und Systemen verwendet wird, haben sie es geschafft, alle Benutzer dieser anderen Produkte zu kompromittieren.

Sowohl Open-Source- als auch Closed-Source-Produkte sind gefährdet. Es gab sogar Fälle, in denen Laptops mit Festplatten-Images hergestellt wurden, die von einem kompromittierten goldenen Image geklont wurden, wodurch Malware direkt in die Hardware eingespielt wurde.

Werbung

Aber da Open-Source-Projekte jedem Zugriff auf den Quellcode und die Möglichkeit geben, Beiträge zum Projekt einzureichen, sind sie ein idealer Angriffsvektor für Cyberkriminelle. Und die Ausrichtung auf Open Source wird immer attraktiver, da die Verwendung von Open-Source-Komponenten immer weiter zunimmt. Fast alle nicht-trivialen Entwicklungsprojekte verwenden Open-Source-Assets. Die digitale Infrastruktur der modernen Welt basiert auf Open-Source.

Laut einem Bericht von Sonatype beschleunigt sich die Nutzung von Open-Source immer noch. Das ist großartig für Open Source. Was nicht so toll ist, ist die gleichzeitige Zunahme von Angriffen auf die Lieferkette, die Open Source als Angriffsvektor verwenden. Die Zahl der Angriffe auf die Lieferkette ist von Jahr zu Jahr um 650 % gestiegen, darunter Abhängigkeitsverwirrung, Tippfehler und Codeinjektion.

Wir haben zuvor Schritte beschrieben, die Sie unternehmensintern ausführen können, um Ihre Gefährdung durch Angriffe auf die Lieferkette zu begrenzen, indem Sie Dienstprogramme wie Preflight verwenden. Wir haben auch über Programme berichtet, die auf Branchenebene implementiert werden, wie die Sigstore-Initiative der Linux Foundation, die gemeinsam von Google, Red Hat und der Purdue University, IN, entwickelt wird.

Das Secure Open Source Programm ist eine neue Initiative der Linux Foundation, die vom Google Open Source Security Team mit einer Million US-Dollar gesponsert wird.

Secure Open Source Rewards< /h2>

Das Pilotprogramm konzentriert sich auf die Verbesserung der Sicherheit kritischer Open-Source-Projekte. Die Definition von “kritisch” ist die Definition der US-Regierung, die als Ergänzung zur Executive Order 14028 entworfen wurde. Ihre Definition stuft Software als kritisch ein, wenn eine oder mehrere ihrer Softwarekomponenten eines der folgenden Attribute aufweisen:

< ul>

  • Es wurde entwickelt, um mit erhöhten Rechten oder Verwaltungsrechten ausgeführt zu werden
  • Es hat direkten oder privilegierten Zugriff auf Netzwerk- oder Computerressourcen
  • Es wurde entwickelt, um den Zugriff auf Daten oder Betriebstechnologie zu kontrollieren
  • Es führt eine vertrauenswürdige Funktion aus
  • Es arbeitet außerhalb der normalen Vertrauensgrenzen mit privilegiertem Zugriff
  • Ein weiterer wichtiger Faktor sind die möglichen Auswirkungen des Problems auf die Verbraucher der Software. Wer ist in welcher Anzahl und wie betroffen? Wenn die fragliche Software in andere Open-Source-Projekte integriert wird, ist ihre Auswirkung höher als bei einer eigenständigen Anwendung. Und je beliebter eine bestimmte Komponente ist, desto attraktiver ist sie für einen Supply-Chain-Angriff.

    Deshalb werden auch diese Kriterien berücksichtigt:

    • Wie viele und welche Arten von Benutzern sind von den Sicherheitsverbesserungen betroffen?
    • Wird die Verbesserungen erhebliche Auswirkungen auf die Infrastruktur und die Benutzersicherheit haben?
    • Wie schwerwiegend oder weitreichend wären die Auswirkungen, wenn das Projekt gefährdet wäre?
    • Ist das Projekt in der Harvard 2 Census Study der am häufigsten verwendeten Pakete enthalten oder hat es einen OpenSSF Critically Score von 0,6 oder mehr?

    Werbung

    In groben Zügen kann ein Softwareprojekt Mittel beantragen, um ein Sicherheitsproblem zu beheben. Der Antrag wird geprüft und Themen wie die Kritikalität des Projekts, die Behebung oder Verbesserung und wer die Arbeit übernimmt, werden berücksichtigt. Die Mitglieder des Bewertungsgremiums werden Mitarbeiter der Linux Foundation und des Google Open Source Security Teams sein.

    Um positiv gesehen zu werden, sollte ein Vorschlag Verbesserungen aus dieser Liste enthalten:

    • Supply Chain Hardening , einschließlich CI/CD-Pipelines und Vertriebsinfrastruktur im Einklang mit dem Framework der Supply-Chain-Ebenen für Software-Artefakte (SLSA).
    • Einführung von Signatur- und Verifizierungstechniken für Software-Artefakte, wie den Sigstore-Tools.
    • Projektverbesserungen, die zu einem höheren OpenSSF-Scorecard-Ergebnis führen. Scorecard erkennt und listet die Abhängigkeiten mit Open-Source-Projekten auf.
    • Verwenden von OpenSSF Allstar zum Härten von GitHub-Repositorys.
    • Erlangen eines CII-Best-Practice-Abzeichens durch Übernahme der branchenweit besten Arbeitspraktiken.

    Die Belohnungen werden entsprechend der Komplexität und den Vorzügen der Sicherheitsverbesserungen und den potenziellen Auswirkungen eines erfolgreichen Angriffs auf die breitere Community gebündelt und verteilt.

    • 10.000 $ oder mehr: Komplizierte, weitreichende und dauerhafte Verbesserungen, die mit ziemlicher Sicherheit größere Schwachstellen im betroffenen Code oder in der unterstützenden Infrastruktur verhindern
    • 5.000 bis 10.000 US-Dollar: Mäßig komplexe Verbesserungen, die überzeugende Sicherheitsvorteile bieten< /li>
    • 1.000 bis 5.000 US-Dollar: Einreichungen von bescheidener Komplexität und Auswirkung
    • 505 US-Dollar: Kleine Verbesserungen, die sich dennoch aus Sicherheitsgründen lohnen< /li>

    Meldemechanismen müssen vereinbart und eingehalten werden. Diese überwachen den Fortschritt der Fixes und überprüfen, ob sie tatsächlich durchgeführt werden. Dies ist nicht nur kostenloses Geld.

    Warum das wichtig ist

    Der Sonatype-Bericht lautet “&#8230 ;Wir gehen davon aus, dass Angreifer weiterhin auf Assets der vorgelagerten Software-Lieferkette abzielen werden, um die nachgelagerten Opfer in großem Umfang auszunutzen.”

    Aufgrund der weit verbreiteten Verwendung von Open Source bei der Entwicklung offener und proprietärer Produkte ist dieser Umfang enorm. Open Source hat das technologische Gefüge unserer modernen Welt in erstaunlichem Maße durchdrungen. Tatsächlich hängt dieses technologische Gefüge jetzt vollständig von Open Source ab.

    Werbung

    Initiativen wie sigstore und Allstar wurden entwickelt, um der gesamten Open-Source-Bewegung zu helfen. Andere Tools wie Preflight werden auf Verbraucherebene bereitgestellt. Diese neue Initiative ergänzt beide Ansätze und greift das Problem an seiner Wurzel an.

    Wenn Sie den Code und die Entwicklungsinfrastruktur verbessern und die Schwachstellen beseitigen, gibt es weniger mögliche Exploits. Das wird die Zahl der Kompromisse verringern.

    Die Secure Open Source Awards sind kein Bug-Bounty. Es geht darum, Ressourcen bereitzustellen, um Probleme anzugehen. Probleme im Code zu beheben, die CI/CD-Pipelines und Quellcode-Repositorys zu härten und ein Softwareartefakt-Signierungs- und -Verifizierungsschema zu verwenden, wird die Position von Open Source verändern.