La sicurezza open source ha reagito nel 2022
Di Matt Asay
Collaboratore, InfoWorld |
L’inizio di dicembre ha segnato l’anniversario del crollo della sicurezza di Log4j. Da allora, il mondo del software ha intrapreso una corsa mortale per assicurarsi che ciò non si verificasse mai più. Stiamo finalmente riscontrando una certa trazione man mano che gli anelli mancanti nella sicurezza della catena di fornitura del software iniziano a essere riempiti.
Log4j è stato un evento paralizzante per molte organizzazioni che hanno faticato a capire se e dove stavano eseguendo la popolare utility di registrazione open source nei loro ambienti. Ma Log4j ha anche costretto il settore a fare i conti con la natura transitiva degli exploit della catena di fornitura del software e con quanto sia facile per gli exploit superare le dipendenze del software. Non è stato un modo divertente per i team di sicurezza di concludere il 2021.
Né i fornitori di sicurezza si coprivano di gloria. Inizialmente, abbiamo assistito a un'ondata di professionisti del marketing opportunistici di software di sicurezza che si affrettavano a posizionare i loro prodotti come soluzioni dirette. Ma secondo Dan Lorenc, CEO e fondatore della startup per la sicurezza della catena di fornitura di software Chainguard, “La maggior parte degli scanner utilizza database di pacchetti per vedere quali pacchetti sono installati all’interno dei contenitori. I software installati al di fuori di questi sistemi non sono facilmente identificabili, rendendoli invisibili agli scanner."
In altre parole, i fornitori di sicurezza vendevano pensieri e preghiere, non soluzioni reali.
Non tutti sono stati così vacui nella loro risposta. Questa sfida alla sicurezza della catena di fornitura del software è collegata in modo molto specifico all’open source. La realtà è che le applicazioni moderne sono realizzate principalmente con framework open source di provenienza in qualche modo sconosciuta. Non è possibile avere una soluzione aziendale che protegga tutto l'open source: non funziona in quella direzione. La risposta, a quanto pare, deve arrivare dalla stessa comunità open source. Nel 2022, lo ha fatto.
C'è stata un'incredibile quantità di attività intorno alla sicurezza della catena di fornitura del software e tonnellate di esempi di comunità open source in cerchio nel 2022.
In parte si tratta di segnali pubblici benvenuti ma in gran parte vuoti da parte dei funzionari, come l'ordine esecutivo della Casa Bianca per proteggere la catena di fornitura del software e il Securing Open Source Software Act del 2022 del Senato degli Stati Uniti. Questo è carino, ma la sicurezza del software non riguarda proclami pubblici . Fortunatamente, ciò che è realmente accaduto nell'ultimo anno è un grande impegno nel fornire agli sviluppatori le toolchain per affrontare la sicurezza della supply chain più a sinistra nel ciclo di vita dello sviluppo del software.
Non sorprende che la Linux Foundation e la Cloud Native Computing Foundation siano state fortemente coinvolte nella realizzazione di tutto ciò in importanti progetti open source. Ad esempio, il formato SPDX SBOM si è fatto strada nelle principali piattaforme come Kubernetes. La Open Source Security Foundation conta più di 100 membri e molti milioni di dollari in finanziamenti per ulteriori standard e strumenti. I linguaggi sicuri per la memoria come Rust sono supportati dal kernel Linux per scongiurare un'intera classe di vulnerabilità legate agli artefatti software.
Forse la tecnologia individuale più notevole che è stata in crisi durante lo scorso anno è Sigstore, lo strumento di firma del codice nato da Google e Red Hat e diventato di fatto il "sigillo di ceralacca" ora incorporato nei registri e nei registri dei software open source. catene di strumenti. Kubernetes, npm e PyPi sono tra le piattaforme e i registri che hanno adottato Sigstore come standard di firma. È importante sottolineare che tutte queste firme Sigstore vengono inserite in un registro di trasparenza pubblica, che rappresenta un nuovo importante passo avanti per l'ecosistema della sicurezza per iniziare a collegare i punti tra la firma del software, le distinte dei materiali del software (SBOM) e l'intera catena di strumenti di provenienza della sicurezza della catena di fornitura del software. .
Chiunque abbia prestato attenzione all’open source negli ultimi 20 anni – o anche negli ultimi due – non sarà sorpreso di vedere gli interessi commerciali iniziare a fiorire attorno a queste popolari tecnologie open source. Come è ormai standard, il successo commerciale si scrive solitamente cloud. Ecco un esempio importante: l'8 dicembre 2022, Chainguard, la società i cui fondatori hanno cocreato Sigstore mentre erano presso Google, ha rilasciato Chainguard Enforce Signing, che consente ai clienti di utilizzare Sigstore-as-a-service per generare firme digitali per artefatti software all'interno dei propri organizzazione utilizzando le proprie identità individuali e chiavi monouso.