La seguridad de la cadena de suministro de software obtiene la primera distribución de Linux, Wolfi


Primer plano de la pantalla del teléfono móvil con letras de logotipo de linux en el teclado de la computadora.
Imagen: Ralf/Adobe Inventory

Desde la firma de application hasta las imágenes de contenedores y una nueva distribución de Linux, una pila de OSS emergente brinda a los desarrolladores medidas de seguridad para administrar la integridad de los sistemas de compilación y los artefactos de software package.

SolarWinds y Log4j fueron las cinco alarmas que despertaron a la industria ante la inseguridad de nuestros artefactos de software program y sistemas de construcción, el llamado problema de «seguridad de la cadena de suministro de software». Pero ha sido un panorama turbio para los desarrolladores y los equipos de ingeniería de seguridad que intentan descubrir los pasos reales para bloquear sus entornos de construcción.

Mayo de 2021 de la Casa Blanca Orden Ejecutiva para Mejorar la Ciberseguridad de la Nación predijo la llegada de las Listas de materiales de software package, esencialmente una lista de ingredientes de lo que hay dentro de un paquete de computer software que establecerá los procesos de certificación y divulgación que se deben cumplir para la adquisición de tecnología por parte del gobierno.

A pesar de los mejores esfuerzos de todos los proveedores de seguridad para blanquear sus productos en torno a la seguridad de la cadena de suministro de program, aún no está claro exactamente cómo se supone que alguien debe construir o mantener estos SBOM. Notas recientes a los jefes de las agencias federales simplemente subrayan la «importancia de los entornos de desarrollo de program seguros» sin mucha elaboración útil sobre cómo llegar allí.

Pero Linux, una vez más, podría ayudar a resolver el dilema.

Un dominio de seguridad complicado en busca de las mejores prácticas

La historia muestra que los desarrolladores seguirán los procesos que eliminan las conjeturas de los sistemas de seguridad, pero solo si existe un camino claro y prescriptivo que se puede seguir con una interrupción mínima en su flujo de trabajo. Por ejemplo, Let’s Encrypt es una autoridad de certificación que hizo que lo que antes period un campo confuso y oneroso en la seguridad de la capa de transporte fuera fácil de resolver. Let’s Encrypt recibió una adopción masiva por parte de los desarrolladores y bloqueó TLS para la mayoría de la web en un período de tiempo muy corto.

VER: Proteja su negocio del cibercrimen con este servicio de monitoreo de la darkish world-wide-web (Academia TechRepublic)

Pero este problema de seguridad de la cadena de suministro de application tiene muchos más matices que TLS. Toca sistemas de compilación, CI/CD, lenguajes de programación y sus registros, todos los marcos que usan los desarrolladores y sus cadenas de custodia. En el corazón de este desafío está la ubicuidad del program de código abierto, la naturaleza transitiva de los marcos de OSS que se comparten en todos los sistemas que los desarrolladores están creando y la falta de soporte que suelen recibir los proyectos de OSS masivamente populares.

Ha habido muchos carraspeos y fuertes proclamaciones sobre la gravedad del problema. Pero, ¿qué se supone que debe hacer realmente un desarrollador o un ingeniero de seguridad?

Una nueva respuesta de una pila emergente

No hay forma de gastar dinero en el problema que resolverá este desafío de seguridad de la cadena de suministro de software program y la complejidad de incentivar a los mantenedores de OSS para que hagan lo correcto (seguro). Lo que se necesita son las herramientas adecuadas que pongan la seguridad en manos de los desarrolladores, al mismo tiempo que protegen el proceso de bloqueo de las cadenas de suministro de computer software.

En los últimos meses, han surgido proyectos de código abierto que abordan aspectos clave de este desafío de la cadena de suministro de software. Se está formando una nueva pila, y creo que estamos a punto de ver cómo las conversaciones teóricas sobre la seguridad de la cadena de suministro de software package dan un salto hacia las implementaciones reales y el refinamiento de las mejores prácticas.

Primero, Sigstore, un proyecto de código abierto con orígenes en Google, centrado en la firma de program y raíces de confianza para artefactos, se ha convertido en el método de facto que utilizan oficialmente los tres principales registros de lenguajes de programación. GitHub anunció recientemente que es usando Sigstore para los paquetes npm de JavascriptPython está usando Sigstore para su registro PyPiy Java está usando Sigstore para Maven. A principios de este verano, Kubernetes también se envió con Sigstore.

Segundo, SLSA — pronunciado “Salsa” — y el Marco de desarrollo de software package seguro están experimentando una adopción masiva comparable como marcos que guían explícitamente el proceso de bloqueo de la seguridad de la cadena de suministro de application. En su reciente informe, Asegurar la guía de la cadena de suministro de application para los desarrolladores, los pesos pesados ​​de la seguridad nacional de EE. UU. NSA, CISA y ODNI hicieron referencia a SLSA y SSDF 14 y 38 veces respectivamente.

Una nueva distribución llamada Wolfi podría resultar ser una nueva pieza crítica del rompecabezas.

Linux al rescate, otra vez

Dan Lorenc y Kim Lewandowski son el dúo dinámico detrás de Sigstore, SLSA y los esfuerzos de código abierto relacionados que crearon conjuntamente en sus roles formales en Google. Con la misión de hacer que la cadena de suministro de application sea segura de forma predeterminada en el inicio, cofundaron Chainguard. Hoy lanzaron la primera distribución de Linux especialmente diseñada para la seguridad de la cadena de suministro de program: Wolfi.

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (TechRepublic)

¿Por qué una nueva distribución? A lo que realmente se lower es a que los enfoques actuales de las vulnerabilidades y exposiciones críticas tienen un gran punto ciego. Las distribuciones de Linux y los administradores de paquetes a menudo no distribuyen las versiones más recientes de los paquetes de computer software, y los desarrolladores instalan aplicaciones fuera de estos límites con frecuencia. El auge de los contenedores y la capacidad de lanzar aplicaciones modernas mucho más rápido que las distribuciones existentes también ha llevado a un número cada vez mayor de usuarios que alojan su propio kernel de Linux. Los escáneres que utilizan los proveedores de seguridad no pueden encontrar estas imágenes de contenedor si se instalaron fuera de los administradores de paquetes o distribuciones y, por lo tanto, pasan por alto toda una clase de vulnerabilidades dentro de ellos.

La razón por la que esto importa es que obviamente no puede medir la seguridad de los artefactos de computer software que ni siquiera sabe que se ejecutan en su entorno: esa lección fue uno de los grandes resultados de la vulnerabilidad Log4j que tuvo a los desarrolladores e ingenieros de seguridad luchando.

Wolfi pretende arreglar esto. Wolfi es una distribución que Chainguard ha creado desde la fuente con SBOM y las firmas y el cumplimiento en cada paso del camino desde los paquetes ascendentes hasta las imágenes finales del contenedor. Al usar Wolfi, argumenta Chainguard, los desarrolladores no tienen que hacer escaneos de análisis binario, y los SBOM se crean cuando se construye el application, no después del hecho.

A principios de este año, Chainguard anunció Imágenes de Chainguard, las primeras imágenes foundation de contenedores sin distribución diseñadas para una cadena de suministro de software segura. Las imágenes de Chainguard son imágenes de contenedores foundation que se actualizan continuamente y tienen como objetivo vulnerabilidades desconocidas. Con Wolfi, han creado una distribución comunitaria de Linux construida con medidas de seguridad predeterminadas para la cadena de suministro de application se envía hoy con imágenes base para binarios independientesaplicaciones como nginx y herramientas de desarrollo como Vamos y C compiladores.

¿Por qué una distro? Según Chainguard: “Los contenedores son inmutables por naturaleza (por lo que no se requieren actualizaciones/reversiones) y el host proporciona el núcleo (simplificando aún más los administradores de paquetes). En pocas palabras, las distribuciones no fueron diseñadas para la forma en que se construye el software program hoy en día”.

Lo que esta pila podría significar para la seguridad de desplazamiento a la izquierda

A principios de la década de 2000, el surgimiento de la pila LAMP (Linux, Apache, MySQL, Pearl y Python) fue un catalizador importante para la llegada de las aplicaciones website modernas, brindando a los desarrolladores un conjunto de herramientas estable y familiar que condujo a uno de los más grandes. olas de innovación que ha visto la industria tecnológica.

Esta evolución precise que estamos viendo en torno a la pila de seguridad de la cadena de suministro de application tiene un ambiente very similar. Sabemos que la seguridad se ha dejado constantemente en manos de los desarrolladores, sabemos que es necesario que existan más medidas de seguridad para ayudar a los desarrolladores a ayudarse a sí mismos a brindar más seguridad a sus entornos de construcción, pero ha sido un dominio muy confuso de descifrar.

Divulgación: trabajo para MongoDB, pero las opiniones expresadas aquí son mías.



Enlace a la noticia first