[ad_1]
Yazılım tedarik zinciri güvenliğinin sahibi kimdir? Geliştiriciler? Ya da onları destekleyen platform ve güvenlik mühendisliği ekipleri?
Geçmişte, şirketin destek sözleşmelerini ve güvenlik SLA’larını hangi Linux dağıtım, işletim sistemi ve altyapı platformundan alacağına CIO, CISO veya CTO ve onların güvenlik ekibi karar verirdi. Bugün, geliştiriciler tüm bunları Docker Files ve GitHub Actions’da yapıyor ve işler geliştiricilere bırakılmadan önce var olan aynı türden bir kurumsal gözetim yok.
Bugün, uyumluluk ve güvenlik ekipleri ilkeleri ve daha üst düzey gereksinimleri tanımlarken, geliştiriciler, bu gereksinimleri karşılaması koşuluyla istedikleri araçları seçme esnekliğine sahip oluyor. Geliştirici üretkenliğini büyük ölçüde hızlandıran endişelerin ayrılmasıdır.
Ancak daha önce yazdığım gibi Log4j, organizasyonları sistemik bir güvenlik sorununa uyandıran soğuk su kovasıydı. Tüm bu sola kayma geliştirici özerkliği ve üretkenlik iyiliğinin ortasında bile, yazılım tedarik zincirlerini oluşturan açık kaynak bileşenleri, kötü aktörler için favori yeni hedef haline geldi.
Açık kaynak geliştiriciler için harika ve saldırganlar için harika
Ağ güvenliği, saldırganlar için bir zamanlar olduğundan çok daha zor bir saldırı vektörü haline geldi. Ama açık kaynak? Sadece bir açık kaynak bağımlılığı veya kitaplık bulun, bu şekilde girin ve ardından diğer tüm bağımlılıklara dönün. Tedarik zincirleri, gerçekte kuruluşlar ve yazılım yapıları arasındaki bağlantılarla ilgilidir. Saldırganların bugün çok eğlendiği şey de bu.
Açık kaynaklı yazılımı geliştiriciler için harika yapan şey, onu bilgisayar korsanları için de harika kılar.
Açık
Geliştiriciler şunları sever: Herkes kodu görebilir ve herkes koda katkıda bulunabilir. Linus Torvalds ünlü bir şekilde “Birçok göz küresi tüm böcekleri sığlaştırır” demiştir ve bu açık kaynağın en büyük faydalarından biridir. Bir şeylere ne kadar çok insan bakarsa, hataların bulunma olasılığı o kadar artar.
Saldırganların sevdiği: GitHub hesabı olan herkes kritik kitaplıklara kod katkıda bulunabilir. Kötü amaçlı kod taahhütleri sık sık gerçekleşir. Kütüphaneler, herkesin çıkarlarını göz önünde bulundurmayan farklı sahiplere devredilir ve devredilir.
Ünlü bir örnek, The Great Suspender adlı Chrome eklentisiydi. Bakımını yapan kişi, onu hemen kötü amaçlı yazılımları takmaya başlayan başka birine devretti. Hayırsever katkıda bulunandan kötü niyetli katkıda bulunana bu tür bir değişikliğin sayısız örneği vardır.
şeffaf
Geliştiricilerin sevdiği: Sorunlar varsa, bunlara bakabilir, bulabilir ve kodu denetleyebilirsiniz.
Saldırganların sevdiği: Açık kaynağın büyük hacmi, kod denetimini pratik olmayan hale getirir. Ayrıca, kodun çoğu, gerçekte nasıl tüketildiğinden farklı bir kaynakta dağıtılır.
Örneğin, bir Python veya Node.js paketinin kaynak koduna baksanız bile, çalıştırdığınızda pip install veya npm installaslında derlenmiş olandan bir paket alıyorsunuz ve paketin gerçekten denetlediğiniz kaynak koddan geldiğinin garantisi yok.
Kaynak kodu nasıl kullandığınıza bağlı olarak, aslında kaynak kodu almıyorsanız ve her seferinde sıfırdan derliyorsanız, şeffaflığın çoğu bir yanılsama olabilir. Ünlü bir örnek, yükleyicinin güvenliği ihlal edilmiş ve sırları çalacak kötü amaçlı yazılım enjekte edilmiş bir bash betiği olduğu Codecov ihlalidir. Bu ihlal, kurcalanabilecek diğer yapılar için bir pivot olarak kullanıldı.
Bedava
Geliştiriciler sever: Açık kaynak, başkalarının yazdığı kodu özgürce kullanma yeteneğinizi garanti eden bir lisansla birlikte gelir ve bu harika. Dahili olarak geliştirilmiş bir yazılım parçası elde etmek için tedarik sürecinden geçmek zorunda kalmaktan çok daha kolaydır.
Saldırganların sevdiği: kalp kanaması saldırısı 2014’ten itibaren, internetin kritik altyapısının ne kadarının gönüllü çalışmalarla çalıştığını gösteren ilk uyandırma çağrısı yapıldı. Bir başka ünlü örnek, Jwt-go adlı bir Golang kütüphanesiydi. Tüm Golang ekosisteminde (Kubernetes dahil) kullanılan çok popüler bir kitaplıktı, ancak içinde bir güvenlik açığı bulunduğunda, bakıcı artık düzeltme sağlamak için ortalıkta yoktu. Bu, insanların hatayı düzeltmek için farklı yamalar kullandığı bir kaosa yol açtı. Bir noktada, aynı hata için beş ya da altı rakip yama sürümü vardı ve hepsi de bağımlılık ağacında kendi yolunu çiziyordu, ta ki tek bir yama nihayet ortaya çıkıp güvenlik açığını sonsuza dek düzeltmeden önce.
Açık kaynak, yazılım tedarik zinciri güvenliği için de harikadır
Tüm bu bağları güçlendirmenin tek yolu birlikte çalışmaktır. Ve topluluk bizim en büyük gücümüzdür. Sonuçta, açık kaynak topluluğu – zamanlarını ve çabalarını harcayan ve kodlarını paylaşan tüm proje yürütücüleri – açık kaynağı endüstri genelinde ve herkesin tedarik zincirinde yaygın hale getirdi. Bu tedarik zincirini güvenceye almaya başlamak için aynı topluluktan yararlanabiliriz.
İster geliştirici, ister bir platform veya güvenlik mühendisliği ekibinin üyesi olun, bu yazılım tedarik zinciri güvenlik alanının gelişimini takip etmek istiyorsanız, dikkat etmeniz gereken açık kaynak projelerinden bazıları şunlardır:
SLSA
SLSA (Yazılım Artifaktları için Tedarik Zinciri Düzeyleri, “salsa” olarak telaffuz edilir) yapı sistemi güvenliği için kuralcı, aşamalı bir gereksinimler dizisidir. Kullanıcının yorumladığı ve uyguladığı dört seviye vardır. Seviye 1, bir yapı sistemi kullanmaktır (bunu bir dizüstü bilgisayarda elle yapmayın). Seviye 2, bazı günlükleri ve meta verileri dışa aktarmaktır (böylece daha sonra bir şeyler arayabilir ve olay yanıtı yapabilirsiniz). Seviye 3, bir dizi en iyi uygulamayı takip etmektir. Seviye 4, gerçekten güvenli bir yapı sistemi kullanmaktır.
Tekton
Tekton güvenlik göz önünde bulundurularak tasarlanmış açık kaynaklı bir yapı sistemidir. Pek çok yapı sistemi güvenli olacak şekilde çalışabilir. Tekton, SLSA’nın yerleşik olduğu iyi varsayılanların amiral gemisi bir örneğidir.
In-Toto
In-Toto ve TUF (aşağıda) herhangi biri yazılım tedarik zinciri güvenliğinden bahsetmeden yıllar önce NYU’daki bir araştırma laboratuvarından çıktı. Tedarik zinciri sırasında gerçekleşen tam adımları günlüğe kaydederler ve politikalara göre doğrulanabilen kriptografik zincirleri birbirine bağlarlar. In-Toto, yapım tarafına odaklanırken, TUF dağıtım tarafına odaklanır (kurcalandı mı?).
TUF
TUF (Güncelleme Çerçevesi), otomatik güncelleme sistemlerini, paket yöneticilerini, dağıtımı ve çekirdek aracılığıyla imza atan bakımcı kümelerini yönetir. TUF, kötü şeyler olduğunda kriptografik anahtar kurtarma konusunda da uzmanlaşmıştır.
Sigstore
Sigstore, açık kaynaklı yazılım yapıları için ücretsiz ve kolay bir kod imzalama çerçevesidir. İmzalama, kriptografik olarak doğrulanabilir bir gözetim zinciri oluşturmanın bir yoludur, yani yazılımın kökeninin kurcalanmaya karşı korumalı bir kaydıdır.
Yazılım tedarik zinciri için daha iyi korkuluklar
Son 10 yılda takım seçimi ve güvenlik her ikisi de geliştiricilere sola kaydırıldı. Geliştiricilerin, kullanılacak en iyi araçları seçmede özerkliklerini sürdürmeye devam ettiğini göreceğimize inanıyorum, ancak yönetimsel bir güvenlik duruşu ve ilgili politikaların sorumluluğunun tekrar sağa kayması gerekiyor.
Yaygın bir yanılgı, güvenlik ekiplerinin güvenlik hatalarını bulmak ve güvenlik açıkları olmadığından emin olmak için günlerini satır satır kod inceleyerek geçirmesidir. Bu hiç de öyle değil. Güvenlik ekipleri, geliştirici ekiplerinden çok daha küçüktür. Geliştiricilerin doğru şeyleri yapmasına yardımcı olacak süreçleri kurmak ve ortadan kaldırmak için oradalar. sınıflar tek seferde bir güvenlik hatası yerine, güvenlik açıkları. Güvenliğin yüzlerce mühendisten oluşan ekiplere ayak uydurabilmesinin tek yolu budur.
Güvenlik ekipleri, yazılım yapıları için güven köklerini kilitlemek için standart bir süreç kümesine ihtiyaç duyar ve geliştiricilerin açık kaynak seçimini açıkça tanımlanmış güvenlik ilkeleriyle dengelemek için net bir yola ihtiyacı vardır. Açık kaynak sorunu ortaya çıkardı ve açık kaynak cevapların bulunmasına yardımcı olacak. Bir gün geliştiriciler, yalnızca bilinen güvenlik açıklarını önlemek için incelenen görüntüleri dağıtacak.
Dan Lorenc CEO’su ve kurucu ortağıdır. Zincir koruma. Daha önce personel yazılım mühendisiydi ve Google’ın Açık Kaynak Güvenlik Ekibinin (GOSST) lideriydi. Minikube, Skaffold, TektonCD, Sigstore gibi projeler kurdu.
–
New Tech Forum, ortaya çıkan kurumsal teknolojiyi benzeri görülmemiş bir derinlikte ve genişlikte keşfetmek ve tartışmak için bir alan sağlar. Seçim, önemli olduğuna inandığımız ve InfoWorld okuyucularının en çok ilgisini çeken teknolojileri seçmemize dayalı olarak özneldir. InfoWorld, yayın için pazarlama teminatı kabul etmez ve katkıda bulunan tüm içeriği düzenleme hakkını saklı tutar. Tüm sorularınızı [email protected] adresine gönderin.
Telif Hakkı © 2022 IDG Communications, Inc.
[ad_2]
Kaynak : https://www.infoworld.com/article/3667473/how-well-solve-software-supply-chain-security.html#tk.rss_all