Поиск по сайту:

Почему программа безопасного открытого исходного кода, поддерживаемая Google, так важна


Атаки на цепочку поставок стремительно растут, а проекты с открытым исходным кодом являются наиболее распространенной точкой проникновения. Linux Foundation, спонсируемый Google, помогает проектам с открытым исходным кодом защитить себя и всех остальных.

Атаки на цепочку поставок

До недавнего времени, если вы занимались кибербезопасностью и пытались объяснить кому-то атаки на цепочки поставок, вы, вероятно, использовали Stuxnet в качестве примера. Теперь у вас есть любое количество примеров на выбор.

Все слышали об атаках Solarwinds и Codecov, потому что это были захватывающие заголовки изощренные атаки с широким охватом. Но эти два примера — капля в море атак такого типа.

Атаки на цепочку поставок отравляют буфет. Тот, кто ест из буфета, потребляет яд. Хозяин буфета не является целью. Мишенью становятся все, кто приглашен на пир. Если злоумышленники могут скомпрометировать программный инструментарий или библиотеку, которые используются во многих других приложениях и системах, им удалось скомпрометировать всех пользователей этих других продуктов.

Продукты с открытым исходным кодом и продукты с закрытым исходным кодом находятся под угрозой. Были даже случаи, когда ноутбуки производились с образами жестких дисков, клонированными из скомпрометированного золотого образа, внедряя вредоносное ПО прямо в оборудование.

Но поскольку проекты с открытым исходным кодом предоставляют каждому доступ к исходному коду и возможность внести свой вклад в проект, они являются идеальным вектором атаки для киберпреступников. И ориентация на открытый исходный код становится все более привлекательной, поскольку использование компонентов с открытым исходным кодом продолжает расти как снежный ком. Почти все нетривиальные проекты разработки используют активы с открытым исходным кодом. Цифровая инфраструктура современного мира опирается на открытый исходный код.

Согласно отчету Sonatype, использование открытого исходного кода все еще ускоряется. Это отлично для открытого исходного кода. Что не так уж здорово, так это сопутствующее увеличение количества атак на цепочку поставок с использованием открытого исходного кода в качестве вектора атаки. Количество атак на цепочку поставок выросло на 650 % из года в год, включая путаницу с зависимостями, опечатки и внедрение кода.

Ранее мы описали шаги, которые вы можете предпринять самостоятельно, чтобы попытаться ограничить свою подверженность атакам на цепочку поставок, используя такие утилиты, как preflight. Мы также сообщали о программах, реализуемых на отраслевом уровне, таких как инициатива Linux Foundation sigstore, разрабатываемая совместно Google, Red Hat и Университетом Пердью, штат Индиана.

Программа Secure Open Source — это новая инициатива Linux Foundation при спонсорской поддержке в размере 1 миллиона долларов от команды Google Open Source Security Team.

Безопасные награды с открытым исходным кодом

Пилотная программа направлена на повышение безопасности критически важных проектов с открытым исходным кодом. Определение критического – это определение правительства США, которое было составлено в дополнение к Распоряжению исполнительной власти 14028. В соответствии с этим определением программное обеспечение считается критическим, если один или несколько его программных компонентов имеют любой из следующих атрибутов:

  • Он предназначен для запуска с повышенными привилегиями или управления привилегиями.
  • Он имеет прямой или привилегированный доступ к сетевым или вычислительным ресурсам
  • Он предназначен для управления доступом к данным или операционным технологиям.
  • Он выполняет важную функцию, заслуживающую доверия.
  • Он работает за пределами обычных границ доверия с привилегированным доступом

Еще одним важным фактором является потенциальное влияние проблемы на потребителей программного обеспечения. Кто будет затронут, в каком количестве и как? Если рассматриваемое программное обеспечение включено в другие проекты с открытым исходным кодом, его влияние будет выше, чем если бы это было отдельное приложение. И чем популярнее данный компонент, тем более он привлекателен для атаки на цепочку поставок.

Вот почему эти критерии также будут учитываться:

  • На скольких и каких пользователей повлияют улучшения безопасности?
  • Повлияют ли улучшения на инфраструктуру и безопасность пользователей?
  • Если проект будет скомпрометирован, насколько серьезными и масштабными будут последствия?
  • Включен ли проект в исследование Harvard 2 Census Study наиболее часто используемых пакетов, или он имеет критическую оценку OpenSSF 0,6 или выше?

В общих чертах, проект программного обеспечения может подать заявку на получение средств, чтобы позволить им исправить проблему безопасности. Заявка рассматривается, и рассматриваются такие темы, как насколько важен проект, какие есть исправления или улучшения, а также кто будет выполнять работу. Членами оценочной комиссии будут представители Linux Foundation и Google Open Source Security Team.

Чтобы предложение было одобрено, оно должно включать улучшения из этого списка:

  • Укрепление цепочки поставок, включая конвейеры CI/CD и инфраструктуру распределения, в соответствии со схемой Уровни цепочки поставок для программных артефактов (SLSA).
  • Внедрение методов подписи и проверки артефактов программного обеспечения, таких как инструменты sigstore.
  • Улучшения проекта, которые приводят к более высокому результату в системе показателей OpenSSF. Scorecard обнаруживает и составляет список зависимостей с проектами с открытым исходным кодом.
  • Использование OpenSSF Allstar для защиты репозиториев GitHub.
  • Получение значка CII Best Practice Badge за внедрение передовых отраслевых методов работы.

Награды распределяются и распределяются в зависимости от сложности и достоинств улучшений безопасности и потенциального воздействия успешной атаки на более широкое сообщество.

  • 10 000 долларов США и более: сложные, важные и долговременные улучшения, которые почти наверняка предотвратят серьезные уязвимости в затронутом коде или поддерживающей инфраструктуре.
  • От 5000 до 10 000 долл. США: улучшения средней сложности, обеспечивающие убедительные преимущества в плане безопасности.
  • От 1000 до 5000 долларов США: материалы небольшой сложности и значимости.
  • 505 долл. США: небольшие улучшения, которые, тем не менее, имеют значение с точки зрения безопасности.

Механизмы отчетности должны быть согласованы и соблюдаться. Они будут следить за ходом исправлений и проверять, действительно ли они выполняются. Это не просто свободные деньги.

Почему это важно

В отчете Sonatype говорится: «… мы ожидаем, что злоумышленники будут продолжать нацеливаться на активы цепочки поставок программного обеспечения вышестоящего уровня в качестве предпочтительного пути для использования нижестоящих жертв в масштабе».

Из-за широкого использования открытого исходного кода при разработке открытых и проприетарных продуктов этот масштаб огромен. Открытый исходный код проник в технологическую ткань нашего современного мира в удивительной степени. Фактически, эта технологическая структура теперь полностью зависит от открытого исходного кода.

Такие инициативы, как sigstore и Allstar, были разработаны, чтобы помочь всему движению за открытый исходный код. Другие инструменты, такие как preflight, развертываются на уровне потребителя. Эта новая инициатива дополняет оба подхода и решает проблему в самом ее корне.

Если вы улучшите код и инфраструктуру разработки и удалите уязвимости, возможных эксплойтов станет меньше. Это снизит количество компромиссов.

Награда за безопасный открытый исходный код — это не награда за обнаружение ошибок. Речь идет о предоставлении ресурсов для решения проблем. Решение проблем в коде, укрепление конвейеров CI/CD и репозиториев исходного кода, а также использование схемы подписи и проверки программных артефактов изменит положение, в котором оказался открытый исходный код.