8 initiatives de sécurité open source notables de 2022

La sécurité open source a été une priorité cette année, avec un certain nombre d’efforts, de projets et de conseils publiés en 2022 pour aider à améliorer la cyber-résilience du code, des logiciels et du développement open source.

Les fournisseurs, les entreprises technologiques, les collectifs et les gouvernements ont en fait contribué à augmenter la barre de sécurité open source au milieu de l’utilisation et de la dépendance croissantes des organisations à l’égard des ressources open source, en plus des dangers et des difficultés de sécurité complexes qui l’accompagnent.

« 2022 a en fait intensifié la concentration nécessaire sur les sujets essentiels de la sécurité open source, y compris la sécurité de la chaîne d’approvisionnement », a déclaré David A. Wheeler, directeur de la sécurité de la chaîne d’approvisionnement open source à la Fondation Linux, à CSO.  » Il a également accéléré les efforts pour reconnaître ce qu’il restait à faire, puis commencer à le faire. En résumé : les choses ne font que commencer, mais des progrès ont effectivement été réalisés. « 

Alors pourquoi est-il important d’améliorer la sécurité open source ? La réponse est, en partie, « parce que cela sous-tend tout », déclare Wheeler.

« Les logiciels dirigent désormais le monde. Les dernières études ont en fait révélé que, généralement, 70 à 90 % des applications sont, lorsque vous regardez à l’intérieur, des composants d’applications logicielles open source (OSS). C’est pas un problème en soi– OSS permet une variété extraordinaire d’articles et de services– mais c’est un problème si l’OSS est susceptible d’être attaqué. »

Pour déclencher tout changement, les organisations ont besoin de ressources, y compris l’argent et le temps des individus, y compris.

« Certaines actions ne nécessiteront pas beaucoup, mais vous en aurez encore fréquemment besoin comme pilote. Certaines auront besoin de plus de ressources car le marché des logiciels est vaste et la quantité de logiciels est importante. Pour de nombreux concepteurs, ‘ make it protect’ est une toute nouvelle exigence inattendue. »

Voici 8 efforts de sécurité open source notables de 2022.

La Maison Blanche héberge la sécurité open source top

En janvier, la Maison Blanche a réuni des intervenants du gouvernement fédéral et du secteur économique pour discuter d’initiatives visant à renforcer la sécurité des logiciels open source et de toutes nouvelles approches de coopération pour favoriser les améliorations.

Les participants satisfaits comprenaient la conseillère adjointe à la sécurité nationale pour la cybersécurité et les technologies émergentes Anne Neuberger et le directeur national de la cybersécurité Chris Inglis, ainsi que des représentants d’entreprises technologiques comprenant Akamai, Amazon, Apple, Cloudflare, Facebook/Meta, Linux Structure, l’Open Source Security Foundation (OpenSSF) et Microsoft.

« Les personnes ont eu une discussion de fond et utile sur la façon de faire une différence dans la sécurité des applications logicielles open source, tout en s’engageant et en soutenant efficacement , le quartier open source », a précisé une lecture de la Maison Blanche.

« La discussion s’est concentrée sur 3 sujets : prévenir les problèmes de sécurité et les vulnérabilités dans le code et les packages open source, améliorer la procédure de découverte des problèmes et de les résoudre, et réduire le temps de réaction pour la dispersion et l’exécution des correctifs. »

Tous les participants poursuivront les conversations pour soutenir ces efforts dans les semaines à venir, qui sont ouvertes à toutes les parties prenantes publiques et privées intéressées, a-t-il ajouté.

OpenSSF, Linux Foundation release Open Stratégie de mobilisation de la sécurité des applications logicielles sources

En mai, OpenSSF et la Linux Foundation ont publié la stratégie de mobilisation de la sécurité des logiciels open source, présentant une technique en 10 flux avec des actions immédiates et à long terme améliorations dans les logiciels open source pour les éléments sous-jacents et le fonctionnement. Ses trois principaux objectifs de sécurité sont :

• Sécuriser la production d’applications logicielles open source en se concentrant sur la prévention des failles de sécurité et des vulnérabilités dans le code et les plans open source
• Améliorer la découverte et la correction des vulnérabilités en améliorer le processus de détection des défauts et de les corriger
• Réduire les temps de réaction des correctifs d’environnement en accélérant la circulation et l’exécution des correctifs

« Vulnérabilités et faiblesses dans les applications logicielles couramment publiées présentes des risques systémiques pour la sécurité et la stabilité de la société contemporaine, car les services du gouvernement fédéral, les fournisseurs de services d’infrastructure, les organisations à but non lucratif et la grande majorité des entreprises personnelles comptent sur des logiciels pour fonctionner », a écrit l’OpenSSF.

Le moment est venu d’appliquer les meilleures pratiques de sécurité à l’ensemble de la communauté logicielle, composée de l’open source, en incorporant une série plus approfondie d’investissements financiers pour faire passer la sécurité d’un entraînement largement réactif à une approche proactive , a-t-il ajouté.

JFrog présente Job Pyrsia pour sécuriser les bundles de logiciels open source, le code binaire

En mai, JFrog a révélé le lancement de Project Pyrsia, un réseau de construction décentralisé, sûr et sécurisé et référentiel de bundles d’applications logicielles qui utilise la technologie blockchain pour protéger les bundles de logiciels open source contre les vulnérabilités et le code destructeur. Il vise à aider les développeurs à développer une chaîne de provenance pour leurs parties logicielles, produisant une plus grande confiance, a déclaré la société.

« Avec Pyrsia, les développeurs peuvent utiliser en toute confiance des logiciels open source, sachant que leurs parties n’ont pas été compromises , sans avoir à construire, maintenir ou exploiter des processus complexes pour gérer les dépendances en toute sécurité », a déclaré JFrog, précisant que la structure aidera à fournir :

• Un réseau de construction indépendant et sécurisé pour les logiciels open source
• Crédibilité des progiciels
• Exhaustivité des dépendances des applications logicielles open source comprises

« Chez JFrog, nous pensons que la sécurité open source ne réussira que si nous fournir au quartier les mêmes outils et services que ceux disponibles pour les entreprises », a commenté Stephen Chin, vice-président des relations avec les développeurs chez JFrog.

« La combinaison d’une architecture open source personnalisable et d’un voisinage robuste et actif fait de Pyrsia le moyen le plus transparent et le plus crédible d’obtenir des offres groupées de logiciels sécurisés. »

OpenUK lance l’été de la sécurité open source

En juin, OpenUK a lancé la saison d’été de la sécurité open source, une initiative de deux mois comprenant des événements, des conférences et des podcasts consacrés aux applications logicielles open source la sécurité et la gestion de la chaîne d’approvisionnement.

Les discussions ont consisté à contextualiser le positionnement des gouvernements et des entreprises à travers le monde en ce qui concerne l’infrastructure nationale cruciale construite sur des logiciels open source et à reconnaître la nécessité de prendre en compte la maintenance, la sécurité et la conservation des applications logicielles open source.

« L’open source diffère considérablement des logiciels propriétaires, en partie dans la conception des redevances propriétaires et l’exonération de responsabilité co-connexe », a écrit Amanda Brock, PDG d’OpenUK.

« Cela a un impact direct la base de la balance des dangers qui est vraiment différente pour les logiciels open source et propriétaires. Le quid quo professionnel pour la libre circulation totale du code open source est l’exonération pure et simple de responsabilité. « 

GitGuardian révèle le travail de ggcanary pour détecter les dangers des applications logicielles open source

En juillet, le fournisseur de services de plate-forme de sécurité de code GitGuardian a révélé le lancement d’un projet de jetons canary open source à un ssist les organisations identifient les environnements de développement et DevOps compromis. La société a déclaré que le travail ggcanary est conçu pour aider les services à découvrir plus rapidement les compromis et est développé avec les fonctions suivantes :

• Dépendance à Terraform, en utilisant l’outil d’application logicielle d’infrastructure en tant que code populaire de HashiCorp pour développer et gérer des jetons canari AWS
• Détection d’invasion très sensible qui utilise les journaux d’audit AWS CloudTrail pour suivre toutes sortes d’actions effectuées sur les jetons canari par les assaillants
• Évolutivité d’environ 5 000 AWS actifs jetons Canary publiés à la frontière interne d’une organisation, dans les référentiels de code source, les outils CI/CD, les tickets et les systèmes de messagerie tels que Jira, Slack ou Microsoft Teams
• Son propre système d’alerte, intégré à AWS Service de messagerie de base (SES), Slack et SendGrid. Les utilisateurs peuvent également l’étendre pour transmettre des informations aux SOC, SIEM ou ITSM

Google lance un programme de primes de bugs sur les vulnérabilités des logiciels open source

Dans En août, Google a lancé le programme Open Source Software Application Vulnerability Benefits (OSS VRP) pour récompenser les découvertes de vulnérabilités dans les emplois open source de Google.

Dans un article, Google a écrit que son OSS VRP encourage les scientifiques à signaler les vulnérabilités avec le meilleur effet réel et potentiel sur les applications logicielles open source du portefeuille Google, en se concentrant sur :

• Toutes les variantes mises à jour des logiciels open source (comprenant les paramètres du référentiel) enregistrées dans les référentiels publics de Organisations GitHub appartenant à Google
• Les dépendances tierces de ces emplois (avec un préavis de la dépendance impactée nécessaire avant la soumission au VRP OSS de Google)

« Le principal des prix iront aux vulnérabilités trouvées dans les tâches les plus sensibles : Bazel, Angular, Golan g, les tampons de protocole et Fuchsia », a déclaré Google, notamment que, pour concentrer ses efforts sur les découvertes qui ont le meilleur effet sur la chaîne d’approvisionnement, il invite les soumissions de :

• Vulnérabilités qui conduisent à fournir compromis de la chaîne
• Problèmes de style qui déclenchent des vulnérabilités du produit
• Autres problèmes de sécurité tels que des informations d’identification sensibles ou divulguées, des mots de passe faibles ou des configurations non sécurisées

Récompenses varient de 100 $ à 31 337 $ USD, selon la gravité de la vulnérabilité et la valeur du projet, a déclaré Google.

La CISA et la NSA publient des conseils de sécurité pour la chaîne d’approvisionnement des applications logicielles open source

En août, la U.S. Cybersecurity and Infrastructure Security Company (CISA) et la U.S. National Security Firm (NSA) ont publié des conseils encourageant les développeurs à mieux protéger la chaîne d’approvisionnement en logiciels aux États-Unis, en mettant l’accent sur les logiciels open source.

« Les organisations de développement doivent utiliser des systèmes dédiés qui téléchargent, analysez et effectuez des vérifications récurrentes des bibliothèques open source pour les nouvelles versions, les mises à jour et les vulnérabilités connues ou nouvelles », lit-on dans l’assistance.

« Comme pour toutes les applications logicielles, nous conseillons fortement d’informer les développeurs sur les facteurs à prendre en compte pour utiliser des logiciels open source, des applications logicielles à code source fermé et pour faire progresser les mesures d’atténuation des meilleures pratiques. »

L’équipe de direction doit également développer, gérer et utiliser les exigences de publication relatives aux logiciels open source, les conseils inclus, garantissant que toutes les livraisons d’open source répondent aux exigences de l’entreprise, consistant en une évaluation de la vulnérabilité de la source.

« Expédier les versions stables les plus récentes de l’open source, en éliminant ou en fournissant un plan de support pour tout logiciel open source qui a atteint la fin de sa vie, et en s’assurant que la licence, le cas échéant, est complètement comprise et certifiée avec l’utilisation de l’open source politique », indiquaient les directives.

OpenSSF publie les meilleures pratiques npm pour aider les développeurs à faire face aux menaces de dépendance open source

En septembre, OpenSSF a publié la npm Guide des meilleures pratiques pour aider Ja Les développeurs vaScript et TypeScript réduisent les risques de sécurité associés à l’utilisation de dépendances open source.

Le guide est un élément du groupe de travail sur les meilleures pratiques OpenSSF et se concentre sur la gestion des dépendances et la sécurité de la chaîne d’approvisionnement pour npm. Il couvre divers domaines tels que la façon d’établir une configuration de CI sûre, la façon d’éviter la confusion des dépendances et la façon de limiter les conséquences d’une dépendance piratée.

Conversation avec CSO en septembre , Wheeler de Linux Structure a déclaré que le plus grand danger pour la sécurité posé par l’utilisation par les développeurs de dépendances open source est de sous-évaluer les effets que les vulnérabilités dans les dépendances directes et indirectes peuvent avoir.

« Des défauts peuvent apparaître dans n’importe quelle application logicielle, ce qui peut avoir un impact considérable sur la chaîne d’approvisionnement qui l’utilise si l’on n’y prend garde », a ajouté Wheeler.

« Fréquemment, un certain nombre de les dépendances sont indétectables et ni les concepteurs ni les organisations ne voient toutes les couches de la pile. La solution n’est pas d’arrêter de réutiliser les logiciels ; la solution est de réutiliser les logiciels de manière raisonnable et d’être prêt à mettre à jour les éléments lorsque des vulnérabilités sont découvertes. «