Pourquoi le programme Open Source sécurisé soutenu par Google est si important – CloudSavvy IT
Les attaques de la chaîne d’approvisionnement montent en flèche et les projets open source sont le point d’infiltration le plus courant. La Linux Foundation, parrainée par Google, aide les projets open source à se protéger et à protéger tous les autres.
Sommaire
Attaques de la chaîne d’approvisionnement
Jusqu’à tout récemment, si vous étiez impliqué dans la cybersécurité et que vous essayiez d’expliquer les attaques de la chaîne d’approvisionnement à quelqu’un, vous utilisiez probablement l’attaque Stuxnet comme exemple. Maintenant, vous avez un certain nombre d’exemples parmi lesquels choisir.
Tout le monde a entendu parler des attaques Solarwinds et Codecov, car il s’agissait d’attaques sophistiquées qui ont fait la une des journaux et d’une large portée. Mais ces deux exemples sont une goutte dans l’océan des attaques de ce type.
Les attaques de la chaîne d’approvisionnement empoisonnent le buffet. Quiconque mange au buffet consomme le poison. L’hôte du buffet n’est pas la cible. Les cibles sont tous ceux qui sont invités à la fête. Si les attaquants peuvent compromettre une boîte à outils logicielle ou une bibliothèque utilisée dans de nombreuses autres applications et systèmes, ils ont réussi à compromettre tous les utilisateurs de ces autres produits.
Les produits open source et fermés sont tous deux à risque. Il y a même eu des cas où des ordinateurs portables ont été produits avec des images de disque dur clonées à partir d’une image dorée compromise, incorporant des logiciels malveillants directement dans le matériel.
Mais parce que les projets open source donnent à chacun l’accès au code source et la possibilité de soumettre des contributions au projet, ils constituent un vecteur d’attaque idéal pour les cybercriminels. Et le ciblage de l’open source devient de plus en plus attrayant à mesure que l’utilisation de composants open source continue de faire boule de neige. Presque tous les projets de développement non triviaux utilisent des actifs open source. L’infrastructure numérique du monde moderne repose sur l’open source.
Selon un rapport de Sonatype, l’utilisation de l’open source continue de s’accélérer. C’est super pour l’open source. Ce qui n’est pas si grand, c’est l’augmentation concomitante des attaques de la chaîne d’approvisionnement utilisant l’open source comme vecteur d’attaque. Il y a eu une augmentation de 650% des attaques de la chaîne d’approvisionnement d’année en année, y compris la confusion des dépendances, le typosquatting et l’injection de code.
Nous avons précédemment décrit les étapes que vous pouvez suivre en interne pour essayer de limiter votre exposition aux attaques de la chaîne d’approvisionnement, en utilisant des utilitaires tels que preflight
. Nous avons également signalé des programmes mis en œuvre au niveau de l’industrie, tels que l’initiative sigstore de la Linux Foundation, qui est développée conjointement par Google, Red Hat et Purdue University, IN.
Le programme Secure Open Source est une nouvelle initiative dirigée par la Linux Foundation avec un parrainage d’un million de dollars de l’équipe de sécurité Open Source de Google.
Récompenses Open Source sécurisées
Le programme pilote est axé sur l’amélioration de la sécurité des projets open source critiques. La définition de critique est la définition du gouvernement américain, qui a été rédigée pour compléter le décret exécutif 14028. Leur définition classe le logiciel comme critique si un ou plusieurs de ses composants logiciels ont l’un des attributs suivants :
- Il est conçu pour fonctionner avec des privilèges élevés ou pour gérer des privilèges
- Il a un accès direct ou privilégié aux ressources réseau ou informatiques
- Il est conçu pour contrôler l’accès aux données ou à la technologie opérationnelle
- Il remplit une fonction essentielle pour faire confiance
- Il fonctionne en dehors des limites de confiance normales avec un accès privilégié
Un autre facteur important est l’impact potentiel du problème sur les consommateurs du logiciel. Qui sera touché, en quel nombre et comment ? Si le logiciel en question est intégré à d’autres projets open source, son impact sera plus important que s’il s’agit d’une application autonome. Et plus un composant donné est populaire, plus il est attrayant pour une attaque de la chaîne d’approvisionnement.
C’est pourquoi ces critères seront également pris en compte :
- Combien et quels types d’utilisateurs seront affectés par les améliorations de la sécurité ?
- Les améliorations auront-elles un impact significatif sur l’infrastructure et la sécurité des utilisateurs ?
- Si le projet était compromis, quelle serait la gravité ou la portée des implications ?
- Le projet est-il inclus dans l’étude Harvard 2 Census Study des packages les plus utilisés, ou a-t-il un score de critique OpenSSF de 0,6 ou plus ?
Dans les grandes lignes, un projet de logiciel peut demander des fonds pour lui permettre de rectifier un problème de sécurité. La demande est examinée et des sujets tels que l’importance du projet, les mesures correctives ou les améliorations et qui effectuera le travail sont pris en compte. Les membres du conseil d’administration seront des membres du personnel de la Linux Foundation et de l’équipe de sécurité Open Source de Google.
Pour être considérée favorablement, une proposition doit inclure des améliorations de cette liste :
- Renforcement de la chaîne d’approvisionnement, y compris les pipelines CI/CD et l’infrastructure de distribution conformément au cadre des niveaux de chaîne d’approvisionnement pour les artefacts logiciels (SLSA).
- Adopter des techniques de signature et de vérification des artefacts logiciels, telles que la
sigstore
outils. - Améliorations du projet qui se traduisent par un résultat OpenSSF Scorecard plus élevé. Scorecard détecte et répertorie les dépendances avec les projets open source.
- Utilisation d’OpenSSF Allstar pour renforcer les référentiels GitHub.
- Gagner un badge des meilleures pratiques CII en adoptant les meilleures pratiques de travail de l’industrie.
Les récompenses sont groupées et distribuées en fonction de la complexité et des mérites des améliorations de sécurité et de l’impact potentiel d’une attaque réussie sur la communauté au sens large.
- 10 000 $ ou plus: Améliorations compliquées, à fort impact et durables qui empêchent presque certainement des vulnérabilités majeures dans le code affecté ou l’infrastructure de support
- 5 000 $ à 10 000 $: Améliorations modérément complexes qui offrent des avantages de sécurité convaincants
- 1 000 $ – 5 000 $: Soumissions de complexité et d’impact modestes
- 505 $: Petites améliorations qui ont néanmoins du mérite d’un point de vue sécurité
Les mécanismes de signalement doivent être convenus et respectés. Ceux-ci surveilleront la progression des correctifs et vérifieront qu’ils sont réellement en cours. Ce n’est pas seulement de l’argent gratuit.
Pourquoi c’est important
Le rapport Sonatype se lit comme suit : « … nous nous attendons à ce que les attaquants continuent de cibler les actifs de la chaîne d’approvisionnement logicielle en amont comme voie privilégiée pour exploiter les victimes en aval. À l’échelle. «
En raison de l’utilisation généralisée de l’open source dans le développement de produits ouverts et propriétaires, cette échelle est énorme. L’open source a imprégné le tissu technologique de notre monde moderne à un degré étonnant. En fait, ce tissu technologique dépend désormais totalement de l’open-source.
Des initiatives comme sigstore
et Allstar
ont été conçus pour apporter une aide à l’ensemble du mouvement open-source. D’autres outils tels que preflight
sont déployés au niveau du consommateur. Cette nouvelle initiative complète les deux approches et attaque le problème à sa racine même.
Si vous améliorez le code et l’infrastructure de développement et supprimez les vulnérabilités, il y aura moins d’exploits possibles. Cela réduira le nombre de compromis.
Les Secure Open Source Awards ne sont pas une prime de bogue. Il s’agit de fournir des ressources pour résoudre les problèmes. La résolution des problèmes de code, le renforcement des pipelines CI/CD et des référentiels de code source et l’utilisation d’un schéma de signature et de vérification des artefacts logiciels transformeront la position dans laquelle se trouve l’open source.