ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), paket depolarının güvenliğini sağlamak için yeni bir çerçeve yayınlamak üzere Açık Kaynak Güvenlik Vakfı (OpenSSF) Yazılım Depolarının Güvenliğini Sağlama Çalışma Grubu ile ortaklık kurduğunu duyurdu.
Aradı Paket Havuzu Güvenliği İlkeleriçerçeve Amaçları Paket yöneticileri için bir dizi temel kural oluşturmak ve açık kaynaklı yazılım ekosistemlerini daha da güçlendirmek.
OpenSSF, “Paket depoları, bu tür saldırıların önlenmesine veya hafifletilmesine yardımcı olmak için açık kaynak ekosisteminde kritik bir noktadadır.” söz konusu.
“Belgelenmiş bir hesap kurtarma politikasına sahip olmak gibi basit eylemler bile güçlü güvenlik iyileştirmelerine yol açabilir. Aynı zamanda yeteneklerin, çoğu kar amacı gütmeyen kuruluşlar tarafından işletilen paket depolarının kaynak kısıtlamalarıyla dengelenmesi gerekir.”
Özellikle ilkeler, kimlik doğrulama, yetkilendirme, genel yetenekler ve komut satırı arayüzü (CLI) araçları olmak üzere dört kategorideki paket depoları için dört güvenlik olgunluk düzeyi ortaya koyuyor:
- Seviye 0 – Çok az güvenlik olgunluğuna sahip olmak.
- Seviye 1 – Çok faktörlü kimlik doğrulama (MFA) gibi temel güvenlik olgunluğuna sahip olmak ve güvenlik araştırmacılarının güvenlik açıklarını raporlamasına olanak sağlamak
- Seviye 2 – Kritik paketler için MFA gerektirme ve kullanıcıları bilinen güvenlik açıkları konusunda uyarma gibi eylemleri içeren orta düzeyde güvenliğe sahip olmak
- 3. seviye – Tüm bakımcılar için MFA gerektiren ve paketler için derleme kaynağını destekleyen gelişmiş güvenliğe sahip olmak
Çerçeve yazarları Jack Cable ve Zach Steindler, tüm paket yönetimi ekosistemlerinin en az Düzey 1’e doğru çalışması gerektiğini söylüyor. Not.
Nihai amaç, paket depolarının güvenlik olgunluklarını kendi kendilerine değerlendirmelerine ve zaman içinde güvenlik iyileştirmeleri şeklinde korkuluklarını güçlendirecek bir plan oluşturmalarına olanak sağlamaktır.
OpenSSF, “Güvenlik tehditleri ve bu tehditlere yönelik güvenlik yetenekleri zamanla değişir.” dedi. “Amacımız, paket depolarının, ekosistemlerinin güvenliğini güçlendirmeye en iyi şekilde yardımcı olacak güvenlik özelliklerini daha hızlı bir şekilde sunmalarına yardımcı olmaktır.”
Bu gelişme, ABD Sağlık ve İnsani Hizmetler Bakanlığı Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi’nin (HC3), hasta kayıtlarını, envanter yönetimini, reçeteleri ve faturalandırmayı sürdürmek için açık kaynaklı yazılım kullanılmasının bir sonucu olarak ortaya çıkan güvenlik riskleri konusunda uyarmasının ardından geldi.
“Açık kaynaklı yazılım, modern yazılım geliştirmenin temeli olsa da, aynı zamanda genellikle yazılım tedarik zincirindeki en zayıf halkadır” dedi. tehdit özeti Aralık 2023’te yayınlandı.