Actualizaciones sobre nuestra colaboración continua con NIST para asegurar la cadena de suministro de software


En Google, hemos abogado durante mucho tiempo por asegurar la cadena de suministro de software program ambos a través de nuestro mejores prácticas internas y esfuerzos de la industria que mejoran la integridad y seguridad del software package. Es por eso que estamos encantados de colaborar con el Instituto Nacional de Estándares y Tecnología (NIST) del Departamento de Comercio de EE. UU. Para respaldar y desarrollar un nuevo estructura que ayudará a mejorar la seguridad e integridad de la cadena de suministro de tecnología.

Esto se basa en nuestro trabajo anterior en junio de este año, donde presentamos cuatro declaraciones en respuesta a la Administración Nacional de Telecomunicaciones e Información (NTIA) y NIST llamar para documentos de posición para ayudar a guiar la adopción de nuevos estándares y pautas de seguridad de la cadena de suministro de application que cumplan con los componentes del Orden ejecutiva sobre la mejora de la ciberseguridad de la nación.

Los documentos exponen formas concretas de aumentar la seguridad cibernética del país, basándose en la experiencia de Google en la construcción de sistemas seguros por diseño para nuestros usuarios y clientes empresariales. Cada una de las sugerencias son soluciones promulgables para la seguridad de la cadena de suministro de application y se extrajeron de la investigación y las innovaciones de Google para eliminar clases enteras de vulnerabilidades.

NIST y NTIA también publicaron sus pautas en julio para varias de las áreas objetivo de la Orden Ejecutiva (Elementos mínimos de SBOM, Pautas de program crítico, Verificación de software package por parte del desarrollador), incorporando recomendaciones específicas de Google. A continuación, se muestran resúmenes de cada uno de los documentos de posición de Google y los antecedentes de nuestras contribuciones y el impacto en cada área.

Desarrollo seguro escalable y de alta confianza

En lugar de ser reactivos a las vulnerabilidades, deberíamos eliminarlas de forma proactiva con lenguajes, plataformas y marcos seguros que detengan clases enteras de errores.

Prevenir problemas antes de que salgan del teclado del desarrollador es más seguro y rentable que intentar solucionar las vulnerabilidades y sus consecuencias. (Considere el enorme impacto del ataque SolarWinds, que se predice que tomará $ 100 mil millones para remediar.) Google promueve diseños que son seguros por defecto e impermeables a errores simples que pueden conducir a vulnerabilidades de seguridad.

Queremos que los sistemas seguros se utilicen lo más ampliamente posible, por lo que hemos invertido en iniciativas como conseguir Óxido en el kernel de Linux, publicado trabajos de investigacióny compartido orientación sobre marcos seguros.

Medidas de seguridad para computer software crítico

El software package crítico no existe en el vacío también debemos fortalecer los sistemas más amplios y los entornos de ejecución. Nuestro documento describe una lista de pasos procesables para la configuración del application crítico, los privilegios con los que se ejecuta y las redes a las que está conectado.

Nuestras sugerencias se basan en prácticas que han resistido las pruebas de tiempo y escala, como en nuestros productos de Google Cloud, basados ​​en una de las nubes más confiables de la industria.

Google contribuye a las herramientas de código abierto que ayudan a los mantenedores a adoptar estas prácticas, como gVisor para sandboxing, y GLOMO para autenticación y autorización. Además, para compartir el conocimiento que hemos adquirido al proteger los sistemas que sirven a miles de millones de usuarios, publicamos nuestro libro Construyendo sistemas seguros y confiables, un recurso para cualquier organización que desee diseñar sistemas que sean fundamentalmente seguros, confiables y escalables.

Prueba de código fuente de application

Fuzzing continuo es indispensable para identificar errores y detectar vulnerabilidades antes de que lo hagan los atacantes. También sugerimos proteger las dependencias mediante herramientas automatizadas como Cuadros de mando, Dependabot, y OSV.

Google ha hecho grandes contribuciones al campo de la fuzzing y ha encontrado decenas de miles de errores con herramientas como libFuzzer y ClusterFuzz.

Hemos puesto el fuzzing continuo a disposición de todos los desarrolladores a través de OSS-Fuzzy son costos de integración de financiamiento y pasantías fuzzing. Estamos liderando un cambio en el apoyo de la industria: además de recompensas de errores, que son programas de recompensas por encontrar errores, también hemos agregado recompensas de parche, dinero que puede ayudar a los mantenedores de fondos a corregir errores descubiertos.

Integridad de la cadena de suministro de software

Google recomienda encarecidamente la adopción de SLSA, un marco integral para garantizar la integridad de los artefactos de program en toda la cadena de suministro de computer software. Cuatro «Niveles SLSA» proporcionan pautas que se pueden adoptar gradualmente y cada una eleva el nivel de los estándares de seguridad para el software de código abierto.

SLSA se basa en Google marco interno Autorización binaria para Borg (BAB) que garantiza que todos los paquetes de application utilizados por la empresa cumplen con altos estándares de integridad. Dado el éxito de BAB, adaptamos el marco para que funcione con sistemas más allá de Google y lo lanzamos como SLSA para ayudar a proteger otras organizaciones y plataformas.

Compartimos muchas de las prácticas de Google para la seguridad y confiabilidad en nuestro Ingeniería de confiabilidad del sitio libro. Siguiendo nuestra reciente introducción de SLSA para el público en basic, esperamos realizar mejoras en respuesta a los comentarios de la comunidad.

Requisitos mínimos para SBOM

Google envió un documento adicional en respuesta a la NTIA Solicitud de comentarios sobre la creación de SBOM, que brindarán a los usuarios información sobre el contenido de un paquete de software package. El desarrollo moderno requiere enfoques diferentes a los del program empaquetado clásico, lo que significa que los SBOM también deben lidiar con artefactos intermedios como contenedores y dependencias de bibliotecas.

Los SBOM necesitan una relación señal-ruido razonable: si contienen demasiada información, no serán útiles, por lo que instamos a la NTIA a establecer requisitos mínimos y máximos de granularidad y profundidad para casos de uso específicos. También recomendamos consideraciones para la creación de SBOM confiables, como el uso de métodos de generación de datos verificables para capturar metadatos y la preparación para las tecnologías de automatización y herramientas que serán clave para la adopción generalizada de SBOM.

Mejorando la seguridad de todos

Estamos comprometidos a ayudando a promover la ciberseguridad colectiva. También nos damos cuenta de que demasiadas pautas y listas de mejores prácticas pueden volverse abrumadoras, pero cualquier cambio incremental en la dirección correcta marca una diferencia authentic. Alentamos a las empresas y mantenedores a comenzar a evaluar hoy cuál es su posición en las posiciones de seguridad más importantes y a realizar mejoras con la orientación de estos documentos en las áreas de mayor riesgo. Ninguna entidad puede solucionar los problemas que todos enfrentamos en esta área, pero al ser abiertos sobre nuestras prácticas y compartir nuestras investigaciones y herramientas, todos podemos ayudar a elevar los estándares de nuestra seguridad colectiva.




Enlace a la noticia original