Python’un PyPI’si, Maven Java deposu ve JavaScript için Düğüm Paket Yöneticisi (npm) gibi açık kaynak havuzları, genellikle altyapıyı yönetmek ve güvenliğini sağlamak için mühendislerden ve gönüllülerden oluşan bir iskelet ekibine sahiptir. Bu platformlarda her gün oluşturulan kötü niyetli kullanıcıların ve projelerin hacmi, güvenlik inceleme ekiplerinin ayak uydurma kapasitesini hızla aşıyor.
Yazılım bütünlüğü firması Synopsys’in yazılım tedarik zinciri risk stratejisi başkanı Tim Mackey, havuzların güvenliğine odaklanmanın yazılım tedarik zincirinin saldırganlardan gördüğü artan ilgiyi yansıttığını söylüyor.
“Eğer bir saldırgansam ve gidip bir JavaScript uygulamasını veya geniş ölçekte bir Python uygulamasını ele geçirmek istiyorsam, bunu yapmanın en iyi yolu bir şekilde deponun anlamlı öğeleri üzerinde kontrol sahibi olmaktır. ” diyor. “Yani, Python kodunu, Düğüm kodunu veya Java kodunu kullanan bir geliştirme kuruluşuysam… Deponun doğru şeyi yapacağına dair üstü kapalı bir güven düzeyine sahip olacağım… ve saldırı için içsel yollar veya güvenin ihlal edilebileceği yollar olmadığını.”
Bakım görevlileri ve depoların altyapı personeli üzerindeki işi azaltmak için devam eden birkaç teknik çaba var. Ancak, kötü amaçlı paketleri ve kullanıcıları yazılım uygulamasından uzak tutan bu zorluğu çözmek, teknolojiden daha fazlasını gerektirir.
Teknolojiyi Kasaya Ekleyin
Örneğin, OpenSSF Puan Kartı (Open Software Security Foundation tarafından barındırılır), kötü niyetli bakıcılar, kaynak kodundan veya derleme sisteminden ödün verilmesi ve kötü amaçlı paketler riskini ölçmeye yardımcı olmak için geliştiricilerin koduna ve açık kaynak projelerine karşı otomatik kontroller gerçekleştirir.
Chainguard’ın baş araştırma bilimcisi Zack Newman, “Tedarik zincirinize neyi bağladığınız konusunda gerçekten kasıtlı olmak en iyisidir – gerçekten, buradaki en iyi saldırı, iyi bir savunmadır” diyor. “Bağımlılıklar eklerken Puan Kartındaki belirli sinyallere bakmak için bir kuruluş içinde bir politika geliştirmek bence çok yol kat ediyor.”
Başka bir teknoloji olan sigstore, geliştiricilerin ve bakıcıların son kullanıcının kodun kaynağına güven duymasını sağlamak için kodlarını kolayca imzalamasına olanak tanır. Proje, kaynak kodunu dijital olarak imzalamayı kolaylaştırıyor çünkü bireysel geliştiricilerin kendi kriptografik altyapılarını yönetmeleri gerekmiyor. Python, geliştiricilerin sigstore kullanarak kod imzaları oluşturmasına ve doğrulamasına yardımcı olacak bir pakete sahiptir ve GitHub ayrıca npm kullanan geliştiricilerin sigstore’u benimsemesi için bir plan üzerinde çalışmaktadır.
Daha Fazla Kişi Ekleyin ve İşlem Yapın
Araçlar ne kadar iyi olursa olsun, sonuç şu: Yazılım havuzlarının gerçekten ihtiyacı olan şey, daha fazla fon ve personelde daha fazla güvenlik uzmanı.
Newman, “Ardışık düzene otomatik araçlar koyma önerileri duyacaksınız, böylece bazı tarayıcılar kötü amaçlı yazılım için yüklenirken tüm paketleri kontrol etsin,” diyor. “Kulağa harika bir fikir gibi geliyor, ancak tam olarak düşündüğünüz çözüm değil çünkü yanlış pozitiflerle ilgili sorunlarla karşılaşıyoruz ve bunların daha sonra manuel olarak gözden geçirilmesi gerekiyor ve bu da büyük bir operasyonel ek yüke neden oluyor – ve şimdi geri döndük. birinci kare.”
Yazılım tedarik zincirinin güvenliğini sağlamaya odaklanma, endüstrinin açık kaynak ekosistemine yaptığı yatırımın artmasına neden oldu. OpenSSF’in en kritik projelerin güvenliğini sağlamayı amaçlayan Alpha-Omega Projesi, artık Python Yazılım Vakfı için yerleşik bir güvenlik geliştiricisine sahip. Amazon Web Services ayrıca PyPI’ye bağışta bulundu. Emniyet ve Güvenlik Mühendisi rolü oluşturun.
Açık kaynak yazılımın kritik bir altyapı olarak açıkça tanınmasıyla, devlet yatırımı da arttı. Örneğin Mart ayında Biden-Harris yönetimi, şirketleri yazılım ürünlerinden sorumlu tutmayı amaçlayan Ulusal Siber Güvenlik Stratejisini duyururken, önceki Beyaz Saray toplantıları ve rehberliği, açık kaynak projelerinin güvence altına alınmasına yönelik desteği artırmayı amaçlıyor.
Synopsys’ten Mackey, daha fazla teknoloji değil, daha fazla gövdenin kısa vadede birçok sorunu çözeceğini söylüyor.
“Python modeliyle ilgili hoşuma giden şeylerden biri, insan inceleme döngüsüne sahip olmaları,” diyor. “Ve bu, bir dereceye kadar, bunlardan bazıları için hasarın kapsamını sınırlayacak.”