Много страни виждат в софтуера с отворен код голям изравнител, който дава на страните от глобалния Юг необходимите инструменти за устойчиво развитие. Но неотдавнашните атаки по веригата за доставки подчертават необходимостта от сигурност.

По време на двудневна конференция в Организацията на обединените нации в Ню Йорк миналата седмица технолози и глобални политици изтъкнаха ползите, които софтуерът с отворен код (OSS) може да предостави на света, особено когато става въпрос за предоставяне на достъпни технологии на държави с недостатъчно обслужване в Африка и извън нея. Но за да се възползвате максимално от обещанието за OSS, сигурността трябва да върви ръка за ръка с разработването на приложения.

Филип Тиго, специален пратеник по въпросите на технологиите на правителството на Кения, подчерта, че в свят, в който изключването от просперитета е норма, OSS предлага начин повече хора да участват в дейностите по кодиране и в бизнеса с разработване на приложения; той посочи, че в GitHub, например, има над 300 000 разработчици от Кения и над един милион от Нигерия.

„В епохата на целите за устойчиво развитие, когато трябва да сложим край на крайната бедност, но и да не оставим никого назад… отвореният код става почти присъщ или неразделна част от всичко, което правим“, каза той пред участниците в конференцията „Служители на програмата на ООН за отворен код за доброто 2024“ на 9 юли.

За да постигне тези цели, всяка държава трябва да се фокусира и върху сигурността на екосистемата, казва пред Dark Reading Омхар Арасаратнам, генерален мениджър на Open Source Security Foundation (OpenSSF), който говори на конференцията.

„Нашата гледна точка е, че е чудесно, че отвореният код може да осигури помощ във всички тези области и да изгради общност, но, разбира се, предварителното условие е, че тя трябва да бъде сигурна“, казва той. „Последното нещо, с което искате да се сблъскате … е сценарий, при който част от глобалното мнозинство се сблъсква, да речем, с безопасността на храните, както и с кибернетичната безопасност, заради пакет, който е несигурен.“

Недостатъчни ресурси: Предупреждения за опасност за отворения код

Компаниите, които се интересуват от осигуряването на сигурността на компонентите с отворен код, използвани в техните усилия за разработване на приложения – „страната на търсенето“, както казва Арасаратнам – разполагат с много инструменти и услуги. Твърде често обаче поддържащите и участващите в проектите с отворен код, включително много от тях в Африка, не разполагат с финансиране и ресурси за сигурност – всъщност много от тях работят по проектите безплатно или са единствените хора в екипа.

„Търсенето е лесната част – трябва да се съсредоточим върху предлагането“, казва той. „Не забравяйте, че голяма част от тези програми, голяма част от тези критични проекти с отворен код са проекти с един единствен администратор, които просто са невероятно популярни.“

Координираната атака срещу проекта XZ Utils подчертава опасността в широк мащаб. При този инцидент сложна група се е насочила към единствения, претоварен с работа поддръжник на проекта в продължение на три години. Членовете на атакуващата група са се представяли с различни самоличности, за да го критикуват и след това да му предлагат помощ. В крайна сметка нападателите получиха привилегии на администратора и пренесоха код, който може да бъде използван.

Атаката срещу проекта XZ Utils, която можеше да доведе до компрометиране на много други проекти, които разчитат на него, съдържа важни поуки – не само че сигурността на веригата за доставки е важна, но и че подобни атаки могат да бъдат спрени. Арасаратнам изтъкна факта, че един от безплатните инструменти на OpenSSF, Scorecards, е подчертал рисковостта на проекта XZ Utils, а други проекти са използвали инструментите, за да открият подобни усилия за социално инженерство.

„Добрата новина е, че след като научихме [за атаката], редица други проекти с отворен код идентифицираха много подобен начин на действие от участници, които се опитват да направят същите неща“, казва той. „Но тъй като тези проекти са били с много по-добри ресурси, те не са били податливи на това“.

Създаване на сигурна екосистема с отворен код

За да подсилят сигурността и да избегнат опасностите от проекти с недостатъчно ресурси, компаниите имат няколко възможности, като всички започват с определянето на това на кои ООС разчитат техните разработчици и операции. За тази цел софтуерните списъци на материалите (SBOM) и софтуерът за анализ на състава на софтуера (SCA) могат да помогнат за изброяване на това, което се намира в средата, и потенциално да намалят броя на пакетите, които компаниите трябва да проверяват, верифицират и управляват, казва Крис Хюз, главен съветник по сигурността във фирмата за сигурност на веригата за доставки на софтуер Endor Labs.

„Просто има толкова много софтуер, толкова много проекти, толкова много библиотеки, че идеята за активно наблюдение на всички тях е много трудна“, казва той.

И накрая, обучението на разработчиците и мениджърите на пакети за това как да създават и управляват код по сигурен начин е друга област, която може да доведе до значителни ползи. OpenSSF например е създал безплатен курс LFD 121 като част от тези усилия.

„Ще създадем курс за архитектури за сигурност, който също ще бъде пуснат по-късно тази година“, казва Арасаратнам от OpenSSF. „Както и курс за сигурност не само за инженери, но и за инженерни мениджъри, тъй като смятаме, че това е критична част от уравнението.“

Групата също така се фокусира върху работата с Агенцията за киберсигурност и инфраструктурна сигурност (CISA) за идентифициране на критични проекти с отворен код; групата разработва и финансира създаването на инструменти, като OpenSSF Scorecard за документиране на състоянието на сигурността на конкретни пакети и Sigstore – цифров подпис, който може да потвърди твърденията за сигурност на софтуерните пакети. И накрая, казва Арасаратнам, OpenSSF е спомогнала за сигурността на платформите за хранилища, където се съхраняват пакетите с отворен код, включително PyPI, RubyGems и npm, мениджъра на пакети за възли.