Los ataques a la cadena de suministro se están disparando y los proyectos open source son el punto de infiltración más común. La Fundación Linux, patrocinada por Google, ayuda a que los proyectos open source se protejan a sí mismos y a todos los demás.
Ataques a la cadena de suministro
Hasta hace muy poco, si estaba involucrado en la seguridad cibernética y se encontraba tratando de explicar los ataques a la cadena de suministro a alguien, probablemente usaba el Ataque Stuxnet como ejemplo. Ahora, cuenta con varios ejemplos para seleccionar.
Todo el mundo ha oído hablar de los ataques de Solarwinds y Codecov debido a que fueron ataques sofisticados y de gran alcance que acapararon los titulares. Pero estos dos ejemplos son una gota en el océano de ataques de este tipo.
Los ataques a la cadena de suministro envenenan el buffet. Cualquiera que coma del buffet consume el veneno. El anfitrión del buffet no es el objetivo. Los objetivos son todos los que están invitados a la fiesta. Si los atacantes pueden comprometer un conjunto de herramientas de software o una biblioteca que se utiliza en muchas otras aplicaciones y sistemas, han logrado comprometer a todos los usuarios de esos otros productos.
Los productos open source y de código cerrado están en riesgo. Inclusive ha habido casos en los que las computadoras portátiles se produjeron con imágenes de disco duro clonadas a partir de una imagen dorada comprometida, lo que generó malware de forma directa en el hardware.
Pero debido a que los proyectos open source brindan a todos acceso al código fuente y la capacidad de enviar contribuciones al proyecto, son un vector de ataque ideal para los ciberdelincuentes. Y apuntar al código abierto se torna cada vez más atractivo a medida que el uso de componentes open source continúa aumentando. Casi todos los proyectos de desarrollo no triviales usan activos open source. La infraestructura digital del mundo moderno se basa en el código abierto.
Según un reporte de Sonatype el uso open source aún se está acelerando. Eso es genial para el código abierto. Lo que no es tan bueno es el aumento concomitante de los ataques a la cadena de suministro que usan el código abierto como vector de ataque. Ha habido un incremento del 650% en los ataques a la cadena de suministro año tras año, incluida la confusión de dependencia, el error tipográfico y la inyección de código.
Previamente describimos los pasos que puede tomar internamente para tratar de limitar su exposición a los ataques de la cadena de suministro, usando servicios públicos como preflight
. Además hemos informado sobre programas que se están implementando a nivel industrial, como el de la Fundación Linux iniciativa sigstore que está siendo desarrollado conjuntamente por Google, Red Hat y Purdue University, IN.
los Código abierto seguro El programa es una nueva iniciativa dirigida por la Fundación Linux con un patrocinio de $ 1 millón del Equipo de seguridad open source de Google.
Recompensas seguras open source
El programa piloto se centra en mejorar la seguridad de proyectos críticos open source. La definición de crítico es el Definición del gobierno de EE. UU., que se redactó para complementar Orden ejecutiva 14028. Su definición clasifica al software como crítico si uno o más de sus componentes de software tiene alguno de los siguientes atributos:
- Está diseñado para ejecutarse con privilegios elevados o administrar privilegios
- Tiene acceso directo o privilegiado a redes o recursos informáticos.
- Está diseñado para controlar el acceso a datos o tecnología operativa.
- Realiza una función fundamental para confiar
- Opera fuera de los límites de confianza normales con acceso privilegiado
Otro factor importante es el impacto potencial del problema en los consumidores del software. ¿Quiénes se verán afectados, en qué número y cómo? Si el software en cuestión se incorpora a otros proyectos open source, su impacto será mayor que si fuera una aplicación independiente. Y cuanto más popular es un componente determinado, más atractivo es para un ataque a la cadena de suministro.
Es por esto que además se considerarán estos criterios:
- ¿Cuántos y qué tipos de usuarios se verán afectados por las mejoras de seguridad?
- ¿Tendrán las mejoras un impacto significativo en la infraestructura y la seguridad de los usuarios?
- Si el proyecto estuviera comprometido, ¿qué tan serias o de amplio alcance serían las implicaciones?
- ¿El proyecto está incluido en el Estudio del censo de Harvard 2 de los paquetes más utilizados, o cuenta con una Puntuación crítica de OpenSSF de 0,6 o más?
A grandes rasgos, un proyecto de software puede solicitar fondos que les permitan rectificar un obstáculo de seguridad. Se revisa la aplicación y se consideran temas como cuán crítico es el proyecto, cuáles son las remediaciones o mejoras y quién hará el trabajo. Los miembros de la junta de evaluación serán el personal de la Fundación Linux y del Equipo de seguridad open source de Google.
Para ser vista favorablemente, una iniciativa debe incluir mejoras de esta lista:
- Fortalecimiento de la cadena de suministro, incluidas las tuberías de CI / CD y la infraestructura de distribución en línea con la Niveles de cadena de suministro para artefactos de software (SLSA).
- Adoptar técnicas de verificación y firma de artefactos de software, como la
sigstore
instrumentos. - Mejoras del proyecto que se traducen en una mayor Cuadro de mando OpenSSF resultado. Scorecard detecta y enumera las dependencias con proyectos open source.
- Usando OpenSSF Allstar para fortalecer los repositorios de GitHub.
- Ganar un Insignia de mejores prácticas de CII adoptando las mejores prácticas laborales de la industria.
Las recompensas se agrupan y distribuyen de acuerdo con la complejidad y los méritos de las mejoras de seguridad y el impacto potencial de un ataque exitoso en la comunidad en general.
- $ 10,000 o más: Mejoras complicadas, de alto impacto y duraderas que casi con certeza previenen vulnerabilidades importantes en el código afectado o la infraestructura de soporte.
- $ 5,000- $ 10,000: Mejoras moderadamente complejas que ofrecen atractivos beneficios de seguridad.
- $ 1,000- $ 5,000: Presentaciones de modesta complejidad e impacto.
- $ 505: Pequeñas mejoras que, a pesar de esto, disponen mérito desde el punto de vista de la seguridad.
Los mecanismos de denuncia deben acordarse y respetarse. Estos monitorearán el progreso de las correcciones y verificarán que verdaderamente se estén llevando a cabo. Esto no es solo dinero gratis.
Por qué esto importa
El reporte de Sonatype dice “… esperamos que los atacantes continúen apuntando a los activos de la cadena de suministro de software upstream como una ruta preferida para explotar a las víctimas downstream a escala. «
Debido al uso generalizado del código abierto en el desarrollo de productos abiertos y patentados, esa escala es enorme. El código abierto ha penetrado el tejido tecnológico de nuestro mundo moderno en un grado asombroso. En realidad, ese tejido tecnológico ahora depende absolutamente del código abierto.
Iniciativas como sigstore
y Allstar
han sido diseñados para otorgar ayuda a todo el movimiento open source. Otras herramientas como preflight
se implementan a nivel de consumidor. Esta nueva iniciativa complementa ambos enfoques y ataca el problema desde su raíz.
Si mejora el código y la infraestructura de desarrollo y elimina las vulnerabilidades, habrá menos exploits posibles. Eso reducirá el número de compromisos.
Los premios Secure Open Source no son una recompensa por errores. Se trata de proporcionar recursos para abordar problemas. Abordar problemas en el código, fortalecer las canalizaciones de CI / CD y los repositorios de código fuente, y utilizar un esquema de verificación y firma de artefactos de software transformará la posición en la que se encuentra el código abierto.