L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a annoncé son partenariat avec le groupe de travail sur la sécurisation des référentiels de logiciels de l’Open Source Security Foundation (OpenSSF) pour publier un nouveau cadre pour sécuriser les référentiels de packages.
Appelé le Principes de sécurité du référentiel de packagesle cadre objectifs établir un ensemble de règles fondamentales pour les gestionnaires de packages et renforcer davantage les écosystèmes logiciels open source.
« Les référentiels de packages se trouvent à un point critique de l’écosystème open source pour aider à prévenir ou atténuer de telles attaques », OpenSSF dit.
« Même des actions simples, comme avoir une politique documentée de récupération de compte, peuvent conduire à de solides améliorations de sécurité. Dans le même temps, les capacités doivent être équilibrées avec les contraintes de ressources des référentiels de packages, dont beaucoup sont exploités par des organisations à but non lucratif.
Notamment, les principes définissent quatre niveaux de maturité de sécurité pour les référentiels de packages dans quatre catégories d’outils d’authentification, d’autorisation, de capacités générales et d’interface de ligne de commande (CLI) :
- Niveau 0 – Ayant très peu de maturité en matière de sécurité.
- Niveau 1 – Avoir une maturité de base en matière de sécurité, comme l’authentification multifacteur (MFA) et permettre aux chercheurs en sécurité de signaler les vulnérabilités
- Niveau 2 – Avoir une sécurité modérée, qui inclut des actions telles que l’exigence de MFA pour les packages critiques et l’avertissement aux utilisateurs des vulnérabilités de sécurité connues
- Niveau 3 – Avoir une sécurité avancée, qui nécessite MFA pour tous les responsables et prend en charge la provenance de la construction pour les packages
Tous les écosystèmes de gestion de paquets devraient tendre vers au moins le niveau 1, selon les auteurs du framework Jack Cable et Zach Steindler. note.
L’objectif ultime est de permettre aux référentiels de packages d’auto-évaluer leur maturité en matière de sécurité et de formuler un plan pour renforcer leurs garde-fous au fil du temps sous la forme d’améliorations de la sécurité.
« Les menaces de sécurité évoluent avec le temps, tout comme les capacités de sécurité qui répondent à ces menaces », a déclaré OpenSSF. « Notre objectif est d’aider les référentiels de packages à fournir plus rapidement les capacités de sécurité qui contribuent le mieux à renforcer la sécurité de leurs écosystèmes. »
Cette évolution intervient alors que le Centre de coordination de la cybersécurité du secteur de la santé (HC3) du ministère américain de la Santé et des Services sociaux a mis en garde contre les risques de sécurité résultant de l’utilisation de logiciels open source pour la tenue des dossiers des patients, la gestion des stocks, les prescriptions et la facturation.
« Si les logiciels open source constituent le fondement du développement logiciel moderne, ils constituent aussi souvent le maillon le plus faible de la chaîne d’approvisionnement des logiciels », a-t-il déclaré dans un communiqué. rapport sur les menaces publié en décembre 2023.