.
O governo dos EUA e algumas das maiores fundações de código aberto e repositórios de pacotes anunciaram uma série de iniciativas destinadas a melhorar a segurança da cadeia de fornecimento de software, ao mesmo tempo que reiteraram apelos aos desenvolvedores para aumentarem o apoio a tais esforços.
Do lado do governo, isso inclui um programa voluntário de compartilhamento de inteligência sobre ameaças entre os Feds e desenvolvedores e operadores de software de código aberto, que será liderado pela Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA).
“Queremos ajudar a promover a colaboração em tempo real em torno de incidentes de segurança”, explicou a diretora da CISA, Jen Easterly, em um discurso no Open Source Software Security Summit da agência esta semana.
Easterly usou seu discurso para anunciar novas colaborações público-privadas.
“Reconhecemos que trabalhar com esta comunidade será um pouco diferente do modo como normalmente trabalhamos com empresas, especialmente dadas as complexidades internacionais únicas em jogo devido à natureza global do código aberto”, observou ela, acrescentando “Como tal, a sua participação e feedback serão ser fundamental para garantir que esta iniciativa seja um sucesso.”
Além da iniciativa de partilha de ameaças, cinco grandes organizações de software de código aberto comprometeram-se a tomar uma série de medidas para melhorar a segurança nos seus respectivos projetos.
A Rust Foundation desenvolverá infraestrutura de chave pública para o repositório de pacotes crates.io para espelhamento e assinatura binária. A organização também publicou um modelo de ameaça para crates.io e ferramentas para identificar pacotes maliciosos.
Além disso, a Python Software Foundation expandirá seu esforço de “publicação confiável” do Python Package Index (PyPI) para provedores adicionais além do GitHub. A publicação confiável permite que os mantenedores do PyPI verifiquem sua identidade por meio do padrão OpenID Connect (OIDC), que usa tokens de identidade de curta duração em vez de credenciais de longo prazo para garantir a identidade.
Quando foi lançado em abril de 2023, o Trusted Publishing oferecia suporte ao GitHub. Na cúpula, a Python Software Foundation revelou que em breve oferecerá suporte ao GitLab, Google Cloud e ActiveState.
Também está trabalhando para fornecer uma API e ferramentas relacionadas para relatar e mitigar malware no PyPI. Além disso, está finalizando o suporte de índice para atestados digitais. Isso permitirá o upload e a distribuição de atestados assinados digitalmente e metadados usados para verificar esses atestados em um repositório de pacotes Python – como PyPI.
Packagist e Composer adicionaram recentemente verificação de banco de dados de vulnerabilidades e outras medidas para evitar que invasores assumam pacotes sem autorização. Os mantenedores dos projetos também concluirão uma auditoria de segurança das bases de código existentes este ano.
Maven Central, o maior repositório de código aberto para linguagens Java e JVM – que é mantido pela Sonatype – está este ano fazendo a transição dos editores para um novo portal de publicação com melhor segurança de repositório. Disseram-nos que isso inclui suporte planejado para autenticação multifator (MFA).
Sonatype também está trabalhando na segurança de chaves, incluindo a implementação do Sigstore, e está avaliando a publicação confiável (como o PyPI está em vigor agora) e o controle de acesso em namespaces.
E embora não seja exatamente novo, em 2022 o NPM – que se autodenomina o maior registro de software do mundo – começou a exigir que os mantenedores de projetos de alto impacto usassem o MFA. No ano passado, a NPM desenvolveu ferramentas que permitem aos mantenedores gerar automaticamente a proveniência dos pacotes e listas de materiais de software (SBOMs), que permitem a qualquer pessoa que use pacotes de código aberto rastrear e verificar dependências de código.
Lições aprendidas com Log4j
A proteção de software, com foco particular em software de código aberto (OSS), tem sido um foco principal para a administração Biden desde que vulnerabilidades graves na biblioteca de registro Log4j baseada em Java de código aberto foram descobertas no final de 2021.
“Nós da CISA estamos particularmente focados na segurança OSS porque, como todos aqui sabem, a grande maioria da nossa infraestrutura crítica depende de software de código aberto”, declarou Easterly em sua palestra.
“E embora a vulnerabilidade Log4Shell possa ter sido um grande alerta para muitos no governo, ela demonstrou o que esta comunidade sabe e alerta há anos: devido à sua implantação generalizada, a exploração de vulnerabilidades OSS torna-se mais impactante”, acrescentou ela.
Além de responsabilizar os desenvolvedores de software pela venda de produtos vulneráveis, Easterly também apelou repetidamente aos fornecedores para apoiarem a segurança do software de código aberto – seja através de dinheiro ou de desenvolvedores dedicados para ajudar a manter e proteger o código de código aberto que acaba em seus projetos comerciais.
Papel dos fabricantes de software
Easterly repetiu este apelo à acção na Cimeira desta semana, citando um estudo de Harvard [PDF] que estima que o software de código aberto gerou mais de US$ 8 trilhões de dólares em valor globalmente.
“Tenho um pedido a todos os fabricantes de software”, observou Easterly – embora tecnicamente tenham sido dois pedidos.
“Precisamos que as empresas sejam consumidores responsáveis e contribuintes sustentáveis do software aberto que utilizam”, continuou ela. “Isso significa examinar adequadamente seu software de código aberto e contribuir de volta – seja por meio de apoio financeiro ou por meio de contribuições de tempo dos funcionários – para ajudar a garantir que todos que dependem desse OSS possam se beneficiar de maior qualidade e segurança.”
E embora o apoio dos Feds ao software de código aberto seja importante, a correção é ainda mais importante, disse Mike McGuire, gerente sênior de software da Synopsys. O registro.
“Não importa o que seja feito por causa destes exercícios, nenhuma aplicação comercial será mais segura se as organizações de desenvolvimento não investirem mais na gestão do código aberto que utilizam”, alertou McGuire.
A Synopsys publicou recentemente seu relatório de segurança de código aberto de 2024, e McGuire destacou suas descobertas: “Quando mais de 70 por cento dos aplicativos comerciais têm uma vulnerabilidade de código aberto de alto risco e a idade média de todas as vulnerabilidades é de 2,8 anos, fica claro que o A maior preocupação não é com a comunidade de código aberto, mas com as organizações que não conseguem se manter atualizadas com os diversos trabalhos de patches de segurança que a comunidade está fazendo.” ®
.
