La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) anunció que se está asociando con el Grupo de Trabajo de Seguridad de Repositorios de Software de la Open Source Security Foundation (OpenSSF) para publicar un nuevo marco para proteger los repositorios de paquetes.
Llamó al Principios para la seguridad del repositorio de paquetesel marco objetivos establecer un conjunto de reglas fundamentales para los administradores de paquetes y fortalecer aún más los ecosistemas de software de código abierto.
«Los repositorios de paquetes se encuentran en un punto crítico en el ecosistema de código abierto para ayudar a prevenir o mitigar este tipo de ataques», OpenSSF dicho.
«Incluso acciones simples como tener una política de recuperación de cuentas documentada pueden conducir a mejoras sólidas de seguridad. Al mismo tiempo, las capacidades deben equilibrarse con las limitaciones de recursos de los repositorios de paquetes, muchos de los cuales son operados por organizaciones sin fines de lucro».
En particular, los principios establecen cuatro niveles de madurez de seguridad para los repositorios de paquetes en cuatro categorías de autenticación, autorización, capacidades generales y herramientas de interfaz de línea de comandos (CLI):
- Nivel 0 – Tener muy poca madurez de seguridad.
- Nivel 1 – Tener madurez de seguridad básica, como autenticación multifactor (MFA) y permitir a los investigadores de seguridad informar vulnerabilidades.
- Nivel 2 – Tener seguridad moderada, que incluye acciones como requerir MFA para paquetes críticos y advertir a los usuarios sobre vulnerabilidades de seguridad conocidas.
- Nivel 3 – Tener seguridad avanzada, que requiere MFA para todos los mantenedores y admite la procedencia de la compilación de los paquetes.
Todos los ecosistemas de gestión de paquetes deberían trabajar hacia al menos el Nivel 1, según los autores del marco Jack Cable y Zach Steindler. nota.
El objetivo final es permitir que los repositorios de paquetes autoevalúen su madurez de seguridad y formulen un plan para reforzar sus barreras de seguridad con el tiempo en forma de mejoras de seguridad.
«Las amenazas a la seguridad cambian con el tiempo, al igual que las capacidades de seguridad que abordan esas amenazas», dijo OpenSSF. «Nuestro objetivo es ayudar a los repositorios de paquetes a ofrecer más rápidamente las capacidades de seguridad que mejor ayuden a fortalecer la seguridad de sus ecosistemas».
El desarrollo se produce cuando el Centro de Coordinación de Ciberseguridad del Sector Salud (HC3) del Departamento de Salud y Servicios Humanos de EE. UU. advirtió sobre los riesgos de seguridad que surgen como resultado del uso de software de código abierto para mantener registros de pacientes, gestión de inventario, recetas y facturación.
«Si bien el software de código abierto es la base del desarrollo de software moderno, también suele ser el eslabón más débil en la cadena de suministro de software», dijo en un informe de amenaza publicado en diciembre de 2023.