Tidelift intensifica sus esfuerzos para asegurar la cadena de suministro de código abierto


Comentario: El código abierto nunca ha sido tan popular, ni ha tenido más necesidad de ser mantenido activamente. Descubra cómo pueden ayudar los catálogos de Tidelift.

código-linux-de-código-abierto.jpg

Imagen: iStock

El problema no es de código abierto. Es lo que su empresa está haciendo al respecto. O no, según sea el caso.

Según un nuevo informe de Revenera, el uso de código abierto está en aumento y, con ello, un aumento del 200% en la cantidad promedio de problemas descubiertos por auditoría de seguridad (administrada por Revenera). Algo de esto se cut down a números: cuantas más dependencias adopten las empresas del software de código abierto, más software package de código abierto aparecerá en auditorías como estas. Y dado que todo el computer software tiene errores, no es sorprendente que tales auditorías revelen una mayor incidencia de errores a medida que aumenta la incidencia del código abierto.

Dicho esto, las organizaciones pueden estar asumiendo más riesgos de la cadena de suministro de código abierto de lo necesario. Piense en la reciente violación de seguridad de SolarWinds Orion. Si bien Orion no es de código abierto, muestra cómo los ataques a la cadena de suministro se han vuelto cada vez más críticos para combatir y refleja lo que hemos sabido desde Heartbleed (y, en realidad, debería haberlo sabido para siempre): a medida que el código abierto se convierte en una parte basic de casi todo el software, necesitamos mejorar la forma en que lo protegemos.

Tidelift, con su anuncio de Catálogos de Tidelift, puede estar acercándonos a ese best.

VER: Cómo conseguir los mejores trabajos de desarrollador (TechRepublic Quality)

Una cadena de suministro de código abierto con fugas

Cuando comencé a cubrir Tidelift aquí en 2018, noté que debido a que «no todo el software de código abierto se mantiene por igual», las empresas pueden terminar dependiendo de los repositorios de código abierto, a menudo sin saberlo, que ya no están recibiendo el nivel de amor. necesitan. Quizás el desarrollador no pueda permitirse seguir invirtiendo tanto tiempo en su proyecto. O tal vez el proyecto simplemente se esté utilizando de formas imprevistas.

De cualquier manera, es un problema. Peor aún, el problema sigue creciendo a medida que aumenta la adopción de código abierto.

Según el informe de Revenera:

  • El número promedio de problemas descubiertos a través de auditorías aumentó un 200% a 1.959 frente a 662 en 2019. ¿Por qué? Porque a medida que los ecosistemas de código abierto populares como NPM y PyPi crecieron en popularidad, están aumentando la cantidad de dependencias que las empresas tendrán en sus bases de código. Los binarios, compuestos por una colección de código fuente compilado de varios orígenes, crecieron un 58%, año tras año, con un problema descubierto por cada 12,126 líneas de código.

  • Las organizaciones enfrentan más riesgos de los que se divulgan. Si bien el 55% de los archivos de código foundation escaneados se atribuyeron al código abierto (un aumento del 10% con respecto al año anterior), solo el 4% de los problemas descubiertos a través de las auditorías se revelaron antes del inicio de la auditoría.

  • Las vulnerabilidades de seguridad están aumentando. Los datos de auditorías forenses y estándar identificaron 89 vulnerabilidades de seguridad por proyecto, saltando de las 45 de los hallazgos del año anterior.

Esa es la desventaja. La ventaja es que Tidelift (y otros en este espacio) ofrecen nuevas formas de abordar el problema de la cadena de suministro de código abierto.

VER: Los desarrolladores de código abierto dicen que proteger su código es una pérdida de tiempo devastadora (TechRepublic)

Ponerse cómodo con las dependencias de su código

Con el lanzamiento de los catálogos de Tidelift, Tidelift espera ofrecer un «enfoque integral para seleccionar, rastrear y administrar los componentes de código abierto que (las organizaciones) están utilizando para el desarrollo de aplicaciones mientras establecen y hacen cumplir las políticas de uso». Lo que esto significa, en la práctica, es que las empresas pueden definir y seleccionar sus propios catálogos de componentes de código abierto de calidad conocida y mantenidos de forma proactiva. También significa que las empresas pueden establecer y hacer cumplir automáticamente los estándares al principio del ciclo de vida del desarrollo, como las políticas de licencias de una organización.

Esto les da a sus desarrolladores más libertad para construir sin introducir involuntariamente riesgos en la cadena de suministro. Debido a que Tidelift se integra con el código fuente existente y las herramientas de administración de repositorios de una empresa, los desarrolladores no necesitan jugar con cambios en sus flujos de trabajo preferidos.

Por ejemplo, si una empresa estuviera interesada en Catálogo PyPi con seguridad, Tidelift ofrece la siguiente información.

«Para todos los paquetes de este catálogo, ofrecemos investigación y asesoramiento sobre:

  • Versiones actualizadas para garantizar que no se apliquen vulnerabilidades, cuando estén disponibles

  • Proporcione soluciones alternativas documentadas para cada vulnerabilidad, cuando no estén disponibles

  • Proporcionar parches personalizados cuando el responsable del mantenimiento no haya respondido a una vulnerabilidad.

  • Información de la versión sobre qué transmisiones de versiones reciben actualizaciones de seguridad y fechas de finalización de la vida útil de esas transmisiones, cuando estén disponibles

  • Paquetes obsoletos

Para los paquetes cuyos mantenedores se asocian con nosotros, también trabajamos de manera proactiva para mejorar la seguridad del paquete, que incluye

  • Establecer una dirección de informes de seguridad confidencial

  • Seguir las mejores prácticas de divulgación coordinada para reducir la exposición de los suscriptores a las vulnerabilidades de día cero

  • Asegurar la autenticación de 2 factores para reducir el riesgo de ataques de troyanos

  • Coordinación del equipo de respuesta de seguridad de Tidelift con los encargados de mantenimiento ascendentes para publicar las correcciones de seguridad de manera oportuna

También puede ver un feed de actividad para ese catálogo que detalla lo que está sucediendo con los componentes dentro de ese catálogo. Es un poco como Twitter, excepto que en lugar de leer peroratas sobre esto o aquello, está viendo exactamente cómo el software program de código abierto que le interesa se está volviendo mejor mantenido y más seguro. Tidelift trabaja con catálogos desde mediados de 2020, pero ahora están disponibles de forma generalizada y vale la pena echarles un vistazo.

Divulgación: trabajo para AWS, pero las opiniones expresadas en este documento son mías.

Ver también



Enlace a la noticia initial