Le conducteur rejette 30 ans en danger

Sean (Ry) Sexe Sex s’est approché à la fin. C’est comme ça…

En mémoire Peugeot 508

Logiciels

2 objectifs pour examiner la sécurité des logiciels open source

Lire aussi :

Les actions de HubSpot chutent de 12 % après…

Un nouveau groupe de ransomware exploite la vulnérabilité du…

Les référentiels open source tels que Python’s PyPI, le référentiel Maven Java et le Node Package Manager (npm) pour JavaScript ont généralement une équipe réduite d’ingénieurs et de bénévoles pour gérer et sécuriser l’infrastructure. Le volume d’utilisateurs et de projets malveillants créés chaque jour sur ces plates-formes dépasse rapidement la capacité des équipes d’examen de la sécurité à suivre.

L’accent mis sur la sécurité des référentiels reflète l’attention croissante que la chaîne d’approvisionnement logicielle a suscitée de la part des attaquants, déclare Tim Mackey, responsable de la stratégie de risque de la chaîne d’approvisionnement logicielle chez la société d’intégrité logicielle Synopsys.

« Si je suis un attaquant et que je veux aller compromettre, par exemple, une application JavaScript ou une application Python à grande échelle, alors la meilleure façon pour moi de le faire est de prendre le contrôle d’une manière ou d’une autre sur des éléments significatifs du référentiel », il dit. « Donc, si je suis une organisation de développement qui consomme du code Python, du code Node ou du code Java … je vais avoir un niveau de confiance implicite que le référentiel va faire la bonne chose … et que il n’y a pas de voies intrinsèques d’attaque ou de moyens de briser la confiance. »

Plusieurs efforts techniques sont en cours pour réduire le travail des mainteneurs et du personnel de l’infrastructure des référentiels. Cependant, résoudre ce défi en gardant les packages malveillants et les utilisateurs hors de l’application logicielle nécessite plus que de la technologie.

Mettez la technologie sur le boîtier

Le tableau de bord OpenSSF (hébergé par l’Open Software Security Foundation), par exemple, exécute des vérifications automatisées par rapport au code des développeurs et aux projets open source pour aider à évaluer le risque de responsables malveillants, de compromission du code source ou du système de construction et de packages malveillants.

« Être vraiment délibéré sur ce que vous reliez à votre chaîne d’approvisionnement est vraiment le meilleur, la meilleure attaque ici est une bonne défense », déclare Zack Newman, chercheur principal chez Chainguard. « Développer une politique à l’intérieur d’une organisation pour examiner des signaux spécifiques dans le tableau de bord lorsque nous ajoutons des dépendances, je pense, va un long chemin. »

Une autre technologie, sigstore, permet aux développeurs et aux mainteneurs de signer facilement leur code pour permettre à l’utilisateur final d’avoir confiance dans la provenance du code. Le projet facilite la signature numérique du code source car les développeurs individuels n’ont pas à gérer leur propre infrastructure cryptographique. Python a un package pour aider les développeurs à générer et vérifier les signatures de code à l’aide de sigstore, et GitHub travaille également sur un plan pour les développeurs qui utilisent npm pour adopter sigstore.

Ajoutez plus de personnes et de processus également

Quelle que soit la qualité des outils, l’essentiel est le suivant : ce dont les référentiels de logiciels ont vraiment besoin, c’est de plus de financement et de plus de professionnels de la sécurité dans leur personnel.

« Vous entendrez des suggestions pour mettre des outils automatisés dans le pipeline, de sorte que nous ayons juste un scanner qui vérifie tous les packages au fur et à mesure qu’ils sont téléchargés pour détecter les logiciels malveillants », déclare Newman. « Cela semble être une excellente idée, mais ce n’est pas tout à fait la solution à laquelle vous pensez, car nous rencontrons des problèmes de faux positifs, qui doivent ensuite être examinés manuellement, ce qui impose une énorme surcharge opérationnelle et nous sommes donc de retour à la case départ. un. »

L’accent mis sur la sécurisation de la chaîne d’approvisionnement des logiciels a entraîné une augmentation des investissements de l’industrie dans l’écosystème open source. Le projet Alpha-Omega d’OpenSSF, qui vise à sécuriser les projets les plus critiques, dispose désormais d’un développeur de sécurité en résidence pour la Python Software Foundation. Amazon Web Services a également fait un don à PyPI pour créer un rôle d’ingénieur en sûreté et sécurité.

Alors que les logiciels open source sont devenus clairement reconnus comme une infrastructure essentielle, les investissements publics ont également augmenté. En mars, par exemple, l’administration Biden-Harris a annoncé sa stratégie nationale de cybersécurité, qui vise à tenir les entreprises responsables des produits logiciels, tandis que les réunions et conseils précédents de la Maison Blanche visent à accroître le soutien à la sécurisation des projets open source.

Plus d’organismes, pas nécessairement plus de technologie, résoudront de nombreux problèmes à court terme, déclare Mackey de Synopsys.

« L’une des choses que j’aime dans le modèle Python, c’est qu’il contient ce cycle de révision humaine », dit-il. « Et cela, dans une certaine mesure, va limiter l’étendue des dommages pour certaines de ces choses. »

www.actusduweb.com
Suivez Actusduweb sur Google News


vous pourriez aussi aimer Plus d'articles de l'auteur
Plus d'Articles

Les actions de HubSpot chutent de 12 % après qu’Alphabet ait…

Un nouveau groupe de ransomware exploite la vulnérabilité du logiciel…

Comment les équipes de plateformes créent des entreprises meilleures,…

Datadog (NASDAQ:DDOG) : meilleurs résultats du premier trimestre pour…

iOS 18 propose un nouveau fond d’écran dynamique aux couleurs…

8 raisons pour lesquelles les développeurs aiment Go et 8 raisons pour…

1 De 351

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite