La cadena de suministro de program logra una victoria en seguridad con un nuevo esfuerzo criptográfico



Las organizaciones que alojan partes significativas de la cadena de suministro de application de código abierto continúan adoptando medidas de seguridad que brindan a los desarrolladores y mantenedores más herramientas para fortalecer sus proyectos contra ataques y confirmaciones de códigos maliciosos.

El lunes, GitHub anunció que la compañía, que posee y mantiene el servicio Node Offer Manager (npm), había pedido a los desarrolladores que comentaran sobre un program para adoptar sigstore, que simplifica la firma de componentes de código producidos por proyectos, así como su vinculación. volver al código fuente. El proyecto sigstore ha facilitado la firma digital del código fuente porque los mantenedores individuales ya no tienen que administrar su propia infraestructura criptográfica.

El servicio de tecnología permite a los desarrolladores de application confirmar qué código se ha utilizado para generar una aplicación o componente de software program en unique, dice Brian Behlendorf, gerente basic de Open up Resource Safety Basis (OpenSSF), que mantiene un almacén de firmas con Linux Foundation.

«El ensamblaje de componentes en plataformas de software program y aplicaciones, todo eso se ha hecho con el mismo tipo de seguridad que teníamos en Web antes de TLS. [Transport Layer Security]», francamente», dice. «Dependíamos de un alto grado de confianza no necesariamente fuera de lugar, pero de que la infraestructura simplemente hacía las cosas por nosotros o de que no había malos actores».

los propuesta es el esfuerzo más reciente para poner a disposición de los desarrolladores herramientas para asegurar la cadena de suministro de software. El npm de GitHub, el Python Package Index (PyPI) y otros ya han instado a los desarrolladores a adoptar la autenticación de dos factores (2FA) para proteger sus cuentas y evitar un compromiso a través de un basic ataque basado en credenciales. GitHub, por ejemplo, ya ha movido los 500 proyectos npm más populares a 2FA y planea requerir la tecnología de seguridad para cualquier proyecto con más de un millón de descargas por semana.

La adopción de la firma electronic de paquetes de software es otro paso basic. En marzo, la empresa de seguridad de computer software Sonatype anunció que tenía «toda intención de adoptar sigstore como parte de la plataforma Maven Central». Maven es la fuente más well known de componentes de software program Java y es mantenida por Sonatype. PyPI tiene una especificación llamada The Update Framework (TUF) que requiere firma electronic de paquetes de softwarey el repositorio tiene un módulo sigstore en desarrollo.

La capacidad de atestiguar que un programa o ejecutable proviene de un determinado repositorio de código fuente es un paso importante para asegurar la cadena de suministro de program, escribió Justin Hutchings, director de gestión de proyectos para las características de seguridad de GitHub, en la publicación del blog site.

«Cuando los mantenedores de paquetes optan por este sistema, los consumidores de sus paquetes pueden tener más confianza en que el contenido del paquete coincide con el contenido del repositorio vinculado», dijo Hutchings. «Históricamente, vincular los paquetes al código fuente ha sido difícil porque requería que los proyectos individuales registraran y administraran sus propias claves criptográficas».

GitHub adquirió el Node Bundle Manager (npm) en 2020.

SBOM y «Salsa»

La capacidad de firmar código es fundamental para la seguridad de la cadena de suministro. Por ejemplo, una lista de materiales de computer software (SBOM) es una forma de comunicar a los desarrolladores y herramientas de seguridad los componentes que componen un proyecto de program. Determinar qué componentes y bibliotecas de application se utilizan en los proyectos de software modernos no siempre es sencillo. El gobierno de EE. UU. ya ha creado requisitos de que cualquier computer software vendido a una agencia federal debe tener un SBOM, pero solo un tercio de las empresas actualmente usan SBOM.

Otra iniciativa, la Niveles de la cadena de suministro para artefactos de application (SLSA)pronunciado «salsa», proporciona a los desarrolladores y administradores de seguridad de aplicaciones una hoja de ruta para proteger los proyectos de application y comunicar la procedencia del program.

«Debe tener integridad y debe comprender la calidad: SLSA realmente se trata de esa parte de la integridad», dice Kim Lewandowski, uno de los creadores originales de SLSA y cofundador de Chainguard, una empresa de seguridad de application. «Un desarrollador sabe que está obteniendo esta pieza de software package que se basa en estas dependencias y estas son las [software] artefactos que entraron en él».

Sigstore funciona porque la tecnología hace que firmar código sea mucho más fácil para los desarrolladores. Behlendorf de OpenSSF compara la plataforma con el servicio Let us Encrypt, que hace que las claves para proteger los sitios web estén disponibles gratuitamente y sean fáciles de implementar. Hacer que cualquier tecnología de seguridad sea fácil de usar es essential, dice.

“Vendrá una mayor seguridad en el software program de código abierto, no solo ayudando a las personas a escribir mejor código”, dice. «No solo vendrá de que muchas personas encuentren los días cero y los arreglen y los arreglos se eliminen. Va a venir de tener herramientas que harán que tener una mejor seguridad en toda la cadena de suministro sea un ‘levantamiento cero’ para los desarrolladores. Si incluso tienen que tener un indicador de función activado, eso es demasiado».



Enlace a la noticia initial