Açık kaynaklı yazılım tedarik zincirinin önemli bölümlerine ev sahipliği yapan kuruluşlar, geliştiricilere ve bakımcılara projelerini saldırılara ve kötü niyetli kod taahhütlerine karşı sağlamlaştırmaları için daha fazla araç sağlayan güvenlik önlemleri almaya devam ediyor.
Pazartesi günü GitHub, Düğüm Paket Yöneticisi (npm) hizmetinin sahibi ve bakımını yapan şirketin, geliştiricileri, projeler tarafından üretilen kod bileşenlerinin imzalanmasını ve bunları birbirine bağlamayı kolaylaştıran sigstore’u benimseme planı hakkında yorum yapmaya çağırdığını duyurdu. kaynak koduna geri dönün. Sigstore projesi, bireysel bakımcıların artık kendi kriptografik altyapılarını yönetmeleri gerekmediğinden, kaynak kodunu dijital olarak imzalamayı kolaylaştırdı.
Linux Vakfı ile sigstore’u sürdüren Açık Kaynak Güvenlik Vakfı’nın (OpenSSF) genel müdürü Brian Behlendorf, teknoloji hizmetinin yazılım geliştiricilerin belirli bir yazılım uygulamasını veya bileşenini oluşturmak için hangi kodun kullanıldığını doğrulamasını sağladığını söylüyor.
“Bileşenlerin yazılım platformlarına ve uygulamalara montajı – bunların tümü, TLS’den önce İnternette sahip olduğumuz güvenlikle aynı şekilde yapıldı. [Transport Layer Security]açıkçası” diyor. “Altyapının bizim için bir şeyler yaptığına ya da dışarıda kötü aktörler olmadığına dair mutlaka yanlış yere değil ama yüksek derecede bir güvene güvendik.”
bu teklif yazılım tedarik zincirini güvence altına almak için araçları geliştiricilere sunmaya yönelik en son çabadır. GitHub’ın npm’si, Python Paket İndeksi (PyPI) ve diğerleri, geliştiricileri, basit bir kimlik bilgilerine dayalı saldırı yoluyla bir uzlaşmayı önlemek için hesaplarını güvence altına almak için iki faktörlü kimlik doğrulamayı (2FA) kullanmaya çağırdı. Örneğin GitHub, en popüler 500 npm projesini 2FA’ya taşıdı ve herhangi bir proje için güvenlik teknolojisi gerektirmeyi planlıyor. haftada bir milyondan fazla indirme.
Yazılım paketlerinin dijital imzasını benimsemek bir diğer kritik adımdır. Mart ayında yazılım güvenlik firması Sonatype sahip olduğunu duyurdu “Sigstore’u Maven Central platformunun bir parçası olarak benimsemeye yönelik her niyet.” Maven, Java yazılım bileşenlerinin en popüler kaynağıdır ve Sonatype tarafından korunur. PyPI, Güncelleme Çerçevesi (TUF) adlı bir spesifikasyona sahiptir. yazılım paketlerinin dijital imzalanmasıve depo var geliştirilmekte olan bir sigstore modülü.
GitHub’ın güvenlik özellikleri proje yönetimi direktörü Justin Hutchings blog yazısında, bir programın veya yürütülebilir dosyanın belirli bir kaynak kod deposundan geldiğini kanıtlama yeteneğinin yazılım tedarik zincirini güvence altına almada önemli bir adım olduğunu yazdı.
Hutchings, “Paket bakıcıları bu sisteme katıldığında, paketlerinin tüketicileri, paket içeriğinin bağlantılı deponun içeriğiyle eşleştiği konusunda daha fazla güvene sahip olabilir.” Dedi. “Tarihsel olarak, paketleri kaynak koduna geri bağlamak zordu çünkü bireysel projelerin kendi kriptografik anahtarlarını kaydetmesini ve yönetmesini gerektiriyordu.”
GitHub Düğüm Paket Yöneticisini (npm) satın aldı 2020’de.
SBOM’lar ve “Salsa”
Kod imzalama yeteneği, tedarik zinciri güvenliği için esastır. Örneğin, bir yazılım malzeme listesi (SBOM), bir yazılım projesini oluşturan bileşenleri geliştiricilere ve güvenlik araçlarına iletmenin bir yoludur. Modern yazılım projelerinde hangi yazılım bileşenlerinin ve kitaplıkların kullanıldığını belirlemek her zaman kolay değildir. Zaten ABD hükümeti, bir federal kuruma satılan herhangi bir yazılımın bir SBOM’a sahip olması için gerekli şartları oluşturmuştur, ancak şu anda şirketlerin yalnızca üçte biri SBOM kullanmaktadır.
Bir diğer girişim, Yazılım Yapıları (SLSA) için Tedarik Zinciri Düzeyleri“salsa” olarak telaffuz edilir, geliştiricilere ve uygulama güvenliği yöneticilerine yazılım projelerini güvence altına almak ve yazılım kaynağını iletmek için bir yol haritası sağlar.
SLSA’nın orijinal yaratıcılarından biri ve bir yazılım güvenlik firması olan Chainguard’ın kurucularından Kim Lewandowski, “Dürüstlüğe sahip olmanız ve kaliteyi anlamanız gerekir – SLSA gerçekten de bu bütünlük bölümünün etrafındadır” diyor. “Bir geliştirici, bu bağımlılıklar üzerine inşa edilmiş bu yazılım parçasını aldıklarını bilir ve bunlar [software] içine giren eserler.”
Sigstore çalışır çünkü teknoloji, kod imzalamayı geliştiriciler için çok daha kolay hale getirir. OpenSSF’den Behlendorf, platformu, web sitelerinin güvenliğini sağlamak için anahtarları ücretsiz olarak kullanılabilir ve dağıtımı kolay hale getiren Let’s Encrypt hizmetine benzetiyor. Herhangi bir güvenlik teknolojisinin kullanımını kolaylaştırmanın kritik önemde olduğunu söylüyor.
“Açık kaynaklı yazılımlarda daha fazla güvenlik, sadece insanların daha iyi kod yazmasına yardımcı olmakla kalmayacak,” diyor. “Sıfır günleri bulan ve bu düzeltmeleri ve düzeltmeleri bir kenara iten çok sayıda insandan gelmeyecek. Tedarik zinciri boyunca daha iyi güvenliğe sahip olmayı bir ‘sıfır kaldırma’ haline getirecek araçlara sahip olmaktan gelecek. geliştiriciler için. Hatta bir özellik bayrağının açık olması gerekiyorsa, bu çok fazla.”