El intrincado laberinto de dependencias de código abierto a lo largo de la cadena de suministro de software global ha creado un rompecabezas de seguridad de aplicaciones de proporciones gigantescas. Ya sea de código abierto o cerrado, la mayor parte del software del mundo actual se basa en componentes y bibliotecas de terceros. En consecuencia, una pieza de código vulnerable, incluso en los proyectos de código abierto más pequeños, puede tener un efecto dominó que afecta a miles de otras aplicaciones, API, componentes de infraestructura en la nube y más.
Este problema se está convirtiendo en una de las preocupaciones de seguridad más apremiantes de los CISO en la actualidad y, a nivel empresarial individual, las organizaciones están trabajando arduamente para abordarlo con proyectos como la creación de listas de materiales de software (SBOM), estableciendo estándares de gestión de seguridad de código abierto y creando barandillas técnicas para desarrolladores para seguirlos.
Pero estos esfuerzos no resuelven necesariamente el problema a un nivel más sistémico. De acuerdo con muchos expertos en la comunidad de código abierto, para hacer la mayor mella en la cadena de suministro descendente, se debe hacer un mayor esfuerzo para ayudar a los mantenedores de proyectos de código abierto. limpiar su código.
Este es el objetivo de la Proyecto Alfa-Omega. A punto de cumplir su primer aniversario el próximo mes, Alpha-Omega es un proyecto de seguridad de panorama general elaborado por Open Source Security Foundation (OpenSSF) y su organización matriz, Linux Foundation, para abordar los problemas fundamentales en la cadena de suministro de software. seguridad.
El lado "Alfa" del proyecto se enfoca en colaborar con los mantenedores de los proyectos de código abierto más críticos para la cadena de suministro más amplia, incluidos notables como node y jQquery, para ayudarlos a mejorar la postura de seguridad de su código. Estos son proyectos seleccionados a mano por el grupo de trabajo OpenSSF Asegurando Proyectos Críticos utilizando la opinión de expertos y datos de puntos de referencia como Open SSF Criticality Score para determinar los proyectos con el mayor impacto posterior.
El lado "Omega" del proyecto se dirige a la cola larga de la seguridad de la cadena de suministro de software, utilizando la automatización y las herramientas para identificar vulnerabilidades críticas de seguridad en un rango de 10,000 proyectos de código abierto ampliamente implementados. Es un esfuerzo por escalar la remediación de las fallas más obvias y de menor importancia que están generalizadas en toda la cadena de suministro.
Financiado inicialmente por Google y Microsoft, con una cadena de herramientas adicional y apoyo de personal del gigante financiero Citi, Alpha-Omega concluyó 2022 al obtener $ 2.5 millones adicionales de Amazon Web Services. Más importante aún, el proyecto se está preparando para 2023 con dos nuevas contrataciones críticas: Yesenia Yser, ex ingeniera de seguridad de productos para Red Hat, y Jonathan Leitschuh, quien acaba de terminar su período de un año como el primer Dan Kaminsky Fellow para la Seguridad Humana. Yser se incorpora como ingeniero senior de seguridad de software y Leitschuh continuará su investigación sobre automatizar la investigación de seguridad de código abierto y remediación como investigador senior de seguridad de software.
Primer año del Proyecto Alpha-Omega
Este proyecto es uno de varios proyectos de seguridad de alto perfil encabezados y recaudado por OpenSSF y Linux Foundation en el último año para abordar los problemas sistémicos en la seguridad de fuente abierta. Siguiendo el modelo exitoso de las organizaciones para la financiación rápida y la acción en proyectos de seguridad, Alpha-Omega ya ha avanzado en una serie de frentes importantes.
Según el primer informe anual del proyecto, el proyecto ya se ha comprometido con cinco proyectos de código abierto diferentes: Node.js, Eclipse Foundation, Rust Foundation, jQuery y Python Software Foundation. En el transcurso de 2022, Alpha-Omega repartió $ 1.5 millones en subvenciones para diferentes proyectos, incluidos $ 460,000 para Rust Foundation, $ 400,000 para Eclipse Foundation y $ 300,000 para Node. En el caso de Node, ese soporte lo ayudó a reactivar el Grupo de trabajo de seguridad de Node y ponerlo a funcionar en un modelo de seguridad y amenazas para Node.js. También estimuló la clasificación de 20 informes de vulnerabilidad diferentes en la base de código del proyecto.
Además, Alpha-Omega lanzó recientemente la versión inicial de Omega Analysis Toolchain, que organiza 27 analizadores de seguridad diferentes para identificar vulnerabilidades críticas en paquetes de código abierto. El proyecto también lanzó una serie de herramientas experimentales, incluido un portal de clasificación para hacer que la investigación y los informes de seguridad sean más eficientes.
Para el segundo año, el proyecto planea acelerar el trabajo en el lado Omega de la casa.
Lo que 2023 tiene reservado para el proyecto
La incorporación de Yser y Leitschuh al Proyecto Alpha-Omega no solo infundirá más capacidad intelectual, tiempo y talento a los esfuerzos existentes, sino también mucho entusiasmo para avanzar en la seguridad de código abierto.
“El software de código abierto se encuentra en todos los equipos que se utilizan hoy en día, desde nuestros automóviles, aviones, teléfonos, rastreadores e incluso sistemas de servicios públicos”, dice Yser, quien tiene profundas raíces en los mundos de la cadena de suministro de software y DevSecOps. En su puesto en Red Hat, era la líder técnica de operaciones de la cadena de suministro.
“La visión del proyecto tiene un impacto global de mejorar la postura de seguridad del software de código abierto, la seguridad de la cadena de suministro y la vida de las personas en todo el mundo”, dice.
Yser trabajará directamente en la mejora de la cadena de herramientas Omega y el portal de clasificación para ayudar a diseñar mejoras en la forma en que se analizan y priorizan los proyectos y los impactos de vulnerabilidad para la mitigación.
“Para la cadena de herramientas Omega, una meta para este año será tener un sistema operativo que un mantenedor o desarrollador pueda aprovechar”, dice. “Para Triage Portal, el objetivo será respaldar la capacidad de un investigador para clasificar un hallazgo descubierto mediante la importación de un informe SARIF al portal y manejar su investigación dentro del sistema. El sistema permanecerá limitado al equipo Alpha-Omega hasta que se indique lo contrario, pero gracias al software de código abierto, un investigador puede ejecutar su propia instancia y enviar solicitudes de extracción al repositorio y respaldar la misión general”.
Yser trabajará en estrecha colaboración con Leitschuh, quien aporta una experiencia significativa y muy nueva en el área de escalado y automatización de correcciones en proyectos de código abierto. Pasó la beca del año pasado trabajando en este problema exacto. Su objetivo es continuar el trabajo que hizo allí y utilizar lo que aprendió para avanzar en su misión de erradicar las fallas más frecuentes e impactantes que acechan en una amplia franja de proyectos de código abierto.
"Es posible que no sepamos dónde están esas pequeñas clavijas que están frenando a toda la industria del software". Leitschuh dice. “Podría ser una de esas diminutas piezas de software que tiene 15 estrellas en GitHub que nadie conoce, pero que está retrasando todo Internet. Entonces, ¿cómo aseguramos esos proyectos que nadie conoce pero [son] de alguna manera fundamentales para toda la cadena de suministro?
Él dice que su trabajo durante la beca lo ayudó a enfocarse más en su nicho de no profundizar necesariamente en ninguna vulnerabilidad de seguridad, sino en buscar un cierto tipo de vulnerabilidad y desarrollar formas automatizadas de encontrar la misma falla en muchos lugares diferentes. en todo el ecosistema de código abierto. Esto encaja perfectamente con el espíritu de Omega, que es lo que lo llevó a su nuevo concierto.
leitschuh voluntad seguir apoyando los refinamientos en métodos automatizados para detectar fallas en el análisis de control y flujo de datos y la generación automática de solicitudes de extracción. Pero también continuará con el trabajo muy manual de colaboración. Una de las lecciones importantes que aprendió el año pasado es que gran parte del trabajo que le espera a él y a su equipo Alpha-Omega no es necesariamente técnico. Se trata de construir relaciones con los mantenedores para ayudarlos a ver cómo, a veces, incluso las soluciones simples a sus proyectos pueden tener un gran impacto en las posturas de seguridad de la cadena de suministro de software global.
“Los tecnólogos y la gente de software, no siempre amamos el elemento humano: es más fácil para nosotros sentarnos y escribir una línea de código que detecte esta cosa y tirarla por encima de una pared que para nosotros interactuar con una persona real. y tratar de convencerlos de que esto es algo que vale la pena arreglar”, dice.
Él explica cómo un ejemplo del año pasado ilustra perfectamente este punto. En este caso, trabajó con un mantenedor de un analizador YAML que tenía una falla de ejecución remota de código de 6 años que tuvo un gran impacto posterior. Durante mucho tiempo, cuando Leitschuh se acercó a él al respecto, el mantenedor le dijo: “No confíes en YAML que no es de confianza. Esta no es mi vulnerabilidad”.
Finalmente, después de sentar al mantenedor en una videollamada con mucho debate técnico, Leitschuh pudo mostrarle que el cambio que solicitó era extremadamente limitado y podría tener un gran impacto.
“Así que ahora está dispuesto a corregir esta vulnerabilidad de ejecución remota de código de 6 años en este YAML Parser porque alguien como yo se sentó con él en una videollamada, finalmente, y tuvo una conversación con él para convencerlo de lo mínimo que él había que hacer para hacerlo más seguro”, dice.
Si bien Leitschuh podría haber solucionado la vulnerabilidad de manera automática, la solución más elegante fue tener esta discusión en su lugar.
“Pensé que valía la pena para mí sentarme y pasar el tiempo enfocándome en esta única pieza de software para tratar de convencer a este mantenedor. Tener esas conversaciones es lo que va a tener un impacto positivo más amplio en toda la industria”, dice. “En ese momento solo necesitas botas en el suelo. Necesita personas que sepan de lo que están hablando para sentarse y pasar el tiempo que se requiere para relacionarse con una persona real”.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/dr-tech/software-supply-chain-security-needs-bigger-picture
