Альфа и Омега безопасности цепочки поставок программного обеспечения
Проект Alpha-Omega улучшит безопасность программного обеспечения с открытым исходным кодом. Хотя это хорошее начало, этого может быть недостаточно.
Что такое проект «Альфа-Омега»? Его цель — «улучшить глобальную безопасность цепочки поставок программного обеспечения с открытым исходным кодом, работая с сопровождающими проекта над систематическим поиском новых, еще не обнаруженных уязвимостей в открытом исходном коде», а затем их исправлением. Это жизненно важно для улучшения безопасности открытого исходного кода.
Чтобы это произошло, партнерская группа Linux Foundation — Open Source Security Foundation (OpenSSF), Google и Microsoft — объединяют усилия для работы с экспертами по безопасности и использования автоматического тестирования безопасности для улучшения безопасности открытого исходного кода. Microsoft и Google вложат первоначальные инвестиции в размере 5 миллионов долларов в проект Alpha-Omega.
Безопасность цепочки поставок программного обеспечения стала важной. Одна серьезная проблема безопасности за другой, включая атаку на цепочку поставок программного обеспечения SolarWinds, уязвимость Log4j и эпизод с внедрением плохого кода npm, можно связать с уязвимостями цепочки поставок программного обеспечения.
Хакеры и национальные противники сделали широко распространенные проекты с открытым исходным кодом своей главной целью. В наши дни, когда обнаруживается новая уязвимость, ее эксплуатация занимает всего несколько часов. Например, проблемы с широко распространенной библиотекой Log4j вынудили многие организации перейти в кризисный режим, поскольку они спешили обновить приложения, прежде чем они могут быть атакованы.
Отдельная часть проблемы, как отмечает Джек Обоул, вице-президент по продуктам компании CodeNotary, занимающейся безопасностью цепочек программного обеспечения, — это оплата разработчикам и сопровождающим за эту работу. Он спрашивает: «Вы слышали о корпорации из списка Fortune 500, которая отправила электронное письмо специалисту по сопровождению открытого исходного кода в «Требуйте ответов» о своем пакете программного обеспечения, за который они никогда не платили и который, как они теперь поняли, используется в их программном обеспечении? "Мы так и сделали. И нам это не показалось смешным. Эта история демонстрирует, пожалуй, самую очевидную истину о том, как можно защитить цепочку поставок программного обеспечения - за счет оплаты сопровождающих. Любой проект или инициатива, например, запущенная OpenSSF В противном случае результатом будет просто выявление большего количества дыр в коде сопровождающего, что заставит его работать больше часов, а не меньше, та же несуществующая компенсация».
Проект «Альфа-Омега» стремится обойти все это, находя уязвимости в открытом исходном коде и исправляя их до того, как на них можно будет обратить внимание. Я желаю им удачи.
Альфа...
Alpha будет работать с наиболее важными разработчиками проектов с открытым исходным кодом. В частности, Alpha будет охватывать как отдельные проекты, так и основные экосистемные сервисы, выбранные на основе работы рабочей группы OpenSSF по обеспечению безопасности критически важных проектов. Для этого «Альфа» будет использовать как экспертные мнения, так и данные. Сюда будут включены данные из проектов безопасности с открытым исходным кодом, таких как OpenSSF Criticality Score и Гарвардский анализ «Census».
Для этих выбранных проектов члены команды Alpha окажут индивидуальную помощь для понимания и устранения пробелов в безопасности. Это будет включать моделирование угроз, автоматическое тестирование безопасности, аудит исходного кода и поддержку устранения обнаруженных уязвимостей. Его лучшие практики будут частично основаны на критериях OpenSSF Scorecard и Best Practices Badge.
... и Омега
Со стороны Omega проект начнется с выявления не менее 10 000 широко распространенных программ с открытым исходным кодом. Как только это будет сделано, команда проекта применит автоматический анализ безопасности и оценку кода программ. Наконец, команда Omega предоставит рекомендации по исправлению ситуации сообществам сопровождающих.
Это отнюдь не легко. Omega будет делать это с помощью автоматизированных методов и инструментов для выявления критических уязвимостей безопасности. Чтобы это произошло, его разработчики будут использовать сочетание технологий, специалистов по облачному анализу и аналитиков безопасности, анализирующих результаты; и процесс, конфиденциально сообщая о критических уязвимостях заинтересованным сторонам программ. Для этого Omega будет использовать специальную команду инженеров-программистов. Они будут постоянно работать над снижением уровня ложноположительных результатов и выявлением новых уязвимостей.
Даже имея собственную команду безопасности, как отметил Эрик Брюэр, вице-президент Google по инфраструктуре и научный сотрудник: «Длинный хвост важного программного обеспечения с открытым исходным кодом, «омега» этого начинания, всегда является самой сложной частью — он потребует не только значительное финансирование и настойчивость, но его масштаб также приведет к обширной автоматизации отслеживания и, в идеале, исправлению уязвимостей. Включение автоматизации станет одним из величайших улучшений в области безопасности с открытым исходным кодом».
«Программное обеспечение с открытым исходным кодом является жизненно важным компонентом критической инфраструктуры современного общества. Поэтому мы должны принять все необходимые меры для обеспечения безопасности его и наших цепочек поставок программного обеспечения», — сказал Брайан Белендорф, генеральный директор OpenSSF. «Альфа-Омега поддерживает эти усилия открытым и прозрачным образом, напрямую улучшая безопасность проектов с открытым исходным кодом посредством активного поиска, исправления и предотвращения уязвимостей».
Если все пойдет хорошо, Марк Руссинович, технический директор Microsoft Azure, сказал: «Альфа-Омега обеспечит надежность и прозрачность ключевых проектов с открытым исходным кодом посредством прямого взаимодействия с сопровождающими и использования современных инструментов безопасности для обнаружения и устранения критических проблем». Мы надеемся на сотрудничество с отраслевыми партнерами и сообществом разработчиков ПО с открытым исходным кодом в рамках этой важной инициативы».
Вопросы остаются
Но достаточно ли этого? Обул так не думает. Технически Aboutboul обеспокоен тем, что ни технология подписей Alpha-Omega (особенно cosign и Rekor), ни ее финансовые и кадровые ресурсы не справляются с этой задачей. «Во-первых, cosign основан на сертификатах и ключах – древних технологиях. Что произойдет, если вы подпишете миллиарды артефактов с сертификатом, а затем этот сертификат теперь скомпрометирован? Вы вернетесь и отзовете доверие всех ваших активов? Кроме того, что, если фактический корень доверия каким-то образом будет скомпрометирован? Серьезные вопросы, которые нужно задать и получить ответы».
Aboutboul также обеспокоен тем, что Rekor, который задуман как неизменяемый, защищенный от несанкционированного доступа реестр проекта и функционирует как журнал прозрачности метаданных об артефактах в цепочке поставок, недостаточно хорош. Это потому, что «Rekor использует Trillian от Google для своей базовой структуры данных, доступной только для добавления, и требует MySQL или MariaDB и Redis под ним. В конечном итоге это оставляет место для уязвимости. Здесь слишком много движущихся частей, и чем больше частей, тем больше частей вы нужно доверять или на самом деле не нужно доверять».
Наконец, что касается технической стороны, Aboutboul отмечает, что Рекор сразу же выходит и говорит: «ВАЖНО: этот экземпляр в настоящее время работает с максимальной отдачей. Мы удалим журнал и обнулим его без предварительного уведомления. Мы сделаем это». улучшайте стабильность и со временем публикуйте SLO». Угу!"
Aboutboul решает эти проблемы, полагаясь на свою неизменяемую базу данных с открытым исходным кодом immudb. Почему? CodeNotary ест свою собственную собачью еду, потому что «immudb сам по себе является неизменяемой базой данных и не полагается на какую-либо внешнюю часть инфраструктуры, здесь нет места сомнениям, нет места для риска. То, что попадает в immudb, хранится в immudb, в тампере -доказательный и проверяемый способ».
Помимо технологии, у Обоула есть еще две важные проблемы, которые, по его мнению, необходимо решить. Во-первых, «Хотя 5 миллионов долларов звучат как большие деньги (и это так), это кажется ничтожной суммой для выполнения этой миссии. Глубина проникновения открытого исходного кода в глобальную цепочку поставок программного обеспечения устрашает. Когда вы начинаете взгляните на ваши потенциальные альфа-проекты, скажем, на ядро Linux и т. д. только усилия, направленные на них, потенциально могут использовать почти все это. Как же тогда вы доберетесь до всех ваших проектов Omega?»
Тем не менее, Абутбул согласен с тем, что «Альфа-Омега» — это хороший и важный шаг вперед. Но Aboutboul делает несколько замечательных замечаний. В конце концов, слон в комнате — это деньги для разработчиков и сопровождающих. Нравится нам это или нет, но мы должны сделать оплату безопасности открытого исходного кода своим приоритетом.