• TWEAK
• Software

Sikring af open source software: Hvem er ansvarlig?

Den amerikanske regering og nogle af de største open source foundations og package repositories har annonceret en række initiativer med henblik på at forbedre sikkerheden i software forsyningskæden, samtidig med at de gentager opfordringer til udviklere om at øge støtten til sådanne bestræbelser.

På regeringssiden inkluderer dette et frivilligt trusselsintelligensdelingsprogram mellem myndighederne og udviklere og operatører af åben kildekode-software, som det amerikanske Cybersikkerheds- og Infrastrukturagentur (CISA) vil lede.

"Vi vil gerne hjælpe med at fremme realtids-samarbejde omkring sikkerhedsincidenter," forklarede CISA-direktør Jen Easterly i en keynote-tale på agenturets Open Source Software Security Summit denne uge.

Easterly brugte sin tale til at annoncere nye offentligt-private samarbejder.

"Vi anerkender, at samarbejdet med dette samfund vil være lidt anderledes end, hvordan vi typisk arbejder med virksomheder, især med de unikke internationale kompleksiteter, der spiller ind på grund af åben kildekode's globale karakter," bemærkede hun og tilføjede: "Din deltagelse og feedback vil derfor være afgørende for at sikre, at dette initiativ bliver en succes."

Ud over trusselsdelingsinitiativet har fem store organisationer for åben kildekode-software lovet en række skridt for at forbedre sikkerheden i deres respektive projekter.

The Rust Foundation vil udvikle offentlig nøgle-infrastruktur til crates.io-pakkearkivet for spejling og binær signering. Organisationen har også offentliggjort en trusselsmodel for crates.io og værktøjer til at identificere ondsindede pakker.

Derudover vil Python Software Foundation udvide sit Python Package Index (PyPI) "Trusted Publishing" effort til yderligere udbydere ud over GitHub. Trusted Publishing giver PyPI-vedligeholdere mulighed for at verificere deres identitet via OpenID Connect (OIDC)-standarden, der bruger kortvarige identitetstokens i stedet for langvarige legitimationsoplysninger for at garantere identitet.

Da det blev lanceret i april 2023, understøttede Trusted Publishing GitHub. På topmødet afslørede Python Software Foundation, at det snart vil understøtte GitLab, Google Cloud og ActiveState.

Den arbejder også på at levere en API og tilknyttede værktøjer til rapportering og håndtering af malware i PyPI. Derudover afslutter den indeksstøtte til digitale attestationer. Dette vil muliggøre upload og distribution af digitalt signerede attestationer og metadata, der bruges til at verificere disse attestationer på et Python-pakkearkiv - som PyPI.

Packagist og Composer har for nylig tilføjet sårbarhedsdatabasescanning og andre foranstaltninger for at forhindre, at angribere overtager pakker uden autorisation. Projekternes vedligeholdere vil også gennemføre en sikkerhedsgennemgang af eksisterende kodebasestrukturer i år.

Maven Central, det største åbne kildepakkearkiv for Java og JVM-sprog - der vedligeholdes af Sonatype - er i år i gang med at overføre udgivere til en ny udgivelsesportal med bedre arkivsikkerhed. Dette inkluderer planlagt support til multifaktor-autentificering (MFA).

Sonatype arbejder også med nøglesikkerhed inklusive Sigstore-implementering, og den evaluerer Trusted Publishing (som PyPI har i øjeblikket), og adgangskontrol på navneområder.

Og selvom det ikke er helt nyt, begyndte NPM - der præsenterer sig som verdens største software-register - i 2022 at kræve, at vedligeholdere af høj-impact-projekter bruger MFA. Sidste år udviklede NPM-værktøjer, der tillader vedligeholdere automatisk at generere pakkeoprindelse og softwarematerialer (SBOMs), som tillader enhver, der bruger de åbne kildepakker, at spore og verificere kodeafhængigheder.