Crédit : Dreamstime
Les développeurs de l’espace d’entreprise sont préoccupés par la sécurité de l’open chaîne d’approvisionnement en logiciels sources dont ils dépendent grandement pour l’avancement de leurs applications.
En action, Google Cloud prévoit de proposer son propre référentiel de pièces open source interne renforcé en tant que tout nouveau service payant appelé Assured Open Source Software Application (Assured OSS).
Le service consistera en des bundles open source typiques qui ont été construits à partir du code source après que la provenance du code a été vérifiée et que le code a été évalué et évalué pour les vulnérabilités. Les plans résultants incluront de nombreuses métadonnées conformes à la toute nouvelle structure des niveaux de chaîne d’approvisionnement pour les artefacts d’application logicielle (SLSA) et seront signés numériquement par Google Cloud.
Selon Eric Brewer, vice-président de l’infrastructure de Google Cloud, l’entreprise conserve actuellement ses propres versions internes testées pour la sécurité de nombreux bundles open source pour son propre pipeline de développement d’applications logicielles. les bases du tout nouveau service étaient déjà là.
Annoncé aujourd’hui, le nouveau service sera simplement disponible pour sélectionner les consommateurs pour un accès rapide au dépistage et devrait entrer dans une phase de prévisualisation publique dans T3 2022. Les tarifs ne sont pas encore choisis, bien qu’il s’agisse d’un service payant pour décharger les dépenses d’infrastructure liées à la structure et à l’hébergement des plans ainsi que les tests de sécurité, qui incluent des tests fuzz automatisés avec plus de 100 000 cœurs.
Le service sera commencez par une collection d’environ 500 plans Java et Python utilisés par Google Cloud, mais il sera étendu à l’avenir pour couvrir d’autres langages d’émissions. Les clients auront également la possibilité d’envoyer tous les packages open source dont ils dépendent pour être ajoutés et gérés via le référentiel et obtenir exactement le même traitement d’assurance de sécurité que ceux existants.
Conservation des parties logicielles locales difficile
La technique de Google Cloud est ce que toutes les organisations qui établissent des logiciels doivent faire actuellement pour faire face à quelques-unes des menaces de la chaîne d’approvisionnement, qui consistent à conserver des copies locales des éléments qu’elles utilisent dans leurs référentiels régionaux plutôt que de les extraire directement des référentiels publics. Cela leur donnerait un tampon au cas où l’un des bundles ou ses dépendances seraient compromis et empoisonnés par un code destructeur.
Cependant, cette pratique peut également entraîner des retards de mise à jour si elle n’est pas gérée de manière appropriée, car les versions internes du package peuvent deviennent obsolètes si les correctifs de sécurité en amont ne sont pas régulièrement intégrés. Ce n’est pas toujours facile si ces correctifs de sécurité sont simplement inclus dans de toutes nouvelles variantes qui s’accompagnent également de modifications de performances importantes qui pourraient interrompre les applications et nécessiter des efforts de réingénierie importants.
De nombreuses études de recherche ont montré au fil des ans que les applications d’entreprise utilisent des variantes obsolètes et sensibles de composants open source dans leurs applications.
Prenez, par exemple, la vulnérabilité Log4Shell vitale et extrêmement médiatisée qui a été découverte en décembre dans la bibliothèque de journalisation Java log4j couramment utilisée. 3 mois plus tard, près de 40 % des téléchargements de log4j2 depuis le référentiel Maven Central concernaient toujours des variantes vulnérables de la bibliothèque.
Corriger les anciennes variantes de code open source
Google Cloud se prépare à résoudre quelques-uns de ces problèmes en rétroportant les points de sécurité vers les anciennes versions des plans concernés, même si le responsable initial ne le fait pas.
» Lorsqu’un propriétaire de package fait une rupture modification, pour une nouvelle version, je pense que ce n’est pas si simple pour de nombreux consommateurs de simplement l’adopter « , a déclaré Brewer à CSO. » Et dans ces cas, il serait probablement très important d’apporter des correctifs de sécurité à la fois à l’ancienne variante que nous utilisons et à la toute nouvelle variante qui est la variante préférée à l’avenir. «
Cela dit, il y a sera un retard entre le lancement d’une nouvelle variante et le moment où une copie auditée et signée par Google apparaîtra dans le référentiel Assured OSS. C’est parce qu’il faut un certain temps pour faire le contrôle de sécurité et examiner les modifications de code, mais Brewer déclare qu’il espère que cette fenêtre de temps deviendra de plus en plus courte à mesure que le processus sera automatisé.
» Cela fait partie de le service, car vous n’obtenez pas la copie en amont », a-t-il déclaré. » Vous l’obtenez avec une certaine latence et quelques révisions et, dans certains cas, il peut s’agir d’une latence visible car nous ne sommes pas certains de la nouvelle version. Alternativement, s’il s’agit d’un point de sécurité, et c’est peu, nous essaierons probablement de le sélectionner un avec une faible latence. «
Il s’agit d’une voie à double sens, car les équipes d’avancement et les scientifiques des vulnérabilités de Google Cloud découvrent régulièrement des failles de sécurité dans les applications logicielles open source et créent des emplacements pour celles-ci.
Dans de tels cas, La version Google Cloud d’un bundle peut obtenir des correctifs pour une vulnérabilité trouvée en interne plus tôt que les principales variantes, car il faut généralement un certain temps pour que les spots soient acceptés par la tâche en amont. ont en fait déjà révélé plus de 16 000 vulnérabilités.
En outre, Google Cloud s’associera à la société de développement et de sécurité Snyk, où Assured OSS sera intégré à la plate-forme et aux outils de Snyk, ainsi qu’à l’intelligence des vulnérabilités de Snyk. des recommandations apparaîtront aux utilisateurs communs dans les outils de processus de vie de développement d’applications logicielles Google Cloud.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
