jeudi, 28 mars 2024

La chaîne d’approvisionnement des logiciels : de nouvelles menaces appellent de nouvelles mesures de sécurité

La chaîne d’approvisionnement logicielle contemporaine est composée des nombreux composants qui entrent dans son développement : les personnes, les processus, les dépendances, les outils.

Cela va bien au-delà du code d’application — généralement l’objectif principal des outils DevSecOps existants.

Ainsi, la chaîne d’approvisionnement logicielle de plus en plus complexe d’aujourd’hui nécessite une toute nouvelle méthode de sécurité. Le dilemme, cependant, est que de nombreuses organisations ont du mal non seulement à sécuriser leurs chaînes d’approvisionnement en logiciels, mais aussi à les identifier.

« Le défi de la sécurisation de la chaîne d’approvisionnement logicielle est important et complexe pour pratiquement toutes les organisations », a déclaré Katie Norton, analyste de recherche senior chez IDC pour devops et DevSecOps. « Et les nombreux points d’entrée dans la chaîne d’approvisionnement des logiciels constituent un risque important qui n’a pas été pris en compte dans de nombreuses organisations. »

Une nouvelle approche

Pour résoudre ce problème croissant, Chainguard a annoncé aujourd’hui Wolfi, une nouvelle communauté Linux (dé)distribution. Il combine des aspects des images de base de conteneurs existantes avec des mesures de sécurité par défaut qui incluront des signatures logicielles alimentées par Sigstore, la provenance et les nomenclatures logicielles (SBOM).

La société annonce également Chainguard Academy, la première plate-forme éducative gratuite, open source et interactive conçue pour la sécurité de la chaîne d’approvisionnement logicielle. De plus, sa plate-forme Chainguard Enforce est désormais généralement disponible.

« L’une des plus grandes menaces pour la sécurisation de la chaîne d’approvisionnement des logiciels est la façon dont nous créons les logiciels aujourd’hui », a déclaré Dan Lorenc, fondateur et PDG de Chainguard. « Les outils que nous utilisons pour créer des logiciels n’ont pas été conçus pour la vitesse et l’échelle de leur utilisation, ce qui se traduit par une architecture maladroite facile à exploiter ou à falsifier pour les mauvais acteurs. »

Les gouvernements du monde entier posent des questions et exigent des garanties sur les logiciels. Et tandis que les fournisseurs – existants et nouveaux – fournissent des outils, ils ne parviennent pas à résoudre le problème le plus profond : « Le besoin d’un changement fondamental dans la façon dont les logiciels sont construits », a déclaré Lorenc.

Mais d’abord : identifier l’offre de logiciels chaîne

Le dernier IBM 2022 Rapport sur le coût d’une violation de données a fourni l’une des premières analyses de la sécurité de la chaîne d’approvisionnement, révélant que près d’un cinquième des organisations ont été piratées en raison d’une compromission de la chaîne d’approvisionnement logicielle.

L’un des principaux obstacles : il suffit de reconnaître et d’identifier toutes les différentes manières dont les acteurs malveillants peuvent exploiter la chaîne d’approvisionnement en logiciels, a déclaré Norton.

Lorsque les gens parlent de « sécurité de la chaîne d’approvisionnement logicielle », ils pensent souvent à exploiter les vulnérabilités des logiciels open source tels que Log4Shell. Mais ce n’est qu’une partie de la surface d’attaque.

Quelques vecteurs d’attaque de la chaîne d’approvisionnement identifiés par Norton incluent des erreurs de configuration et des secrets codés en dur dans l’infrastructure en tant que code (IaC) et une mauvaise configuration dans le pipeline CI/CD qui peuvent exposer des informations sensibles ou peuvent être utilisées comme point d’entrée pour des attaques malveillantes. activité. Une autre menace est la compromission des informations d’identification des développeurs, souvent en raison d’une mauvaise gouvernance ou du non-respect des principes du moindre privilège.

Ensuite, il existe des outils et des techniques de piratage qui sont facilement disponibles sur le Web. « Des compétences avancées ne sont pas nécessaires pour que quelqu’un brise la chaîne d’approvisionnement en logiciels de votre entreprise », a déclaré Norton.

La bonne nouvelle est qu’avec l’augmentation des cas d’exploits et, avec eux, une prise de conscience croissante, le marché de la chaîne d’approvisionnement en logiciels est « un domaine en évolution » avec de nouveaux concurrents entrant constamment dans l’espace, a-t-elle déclaré.

Construire la sécurité dès le début

Comme l’a expliqué Lorenc, la plupart des charges de travail actuelles exécutées sur des conteneurs et des distributions ont été conçues pour une époque antérieure. Ceci, associé aux nouveaux risques de sécurité de la chaîne d’approvisionnement, a révélé des lacunes majeures lors de l’exploitation des conteneurs.

Par exemple, les images de conteneur ont tendance à être en retard sur les mises à jour en amont, ce qui signifie que les utilisateurs installent les packages manuellement ou en dehors des gestionnaires de packages et exécutent des images avec des vulnérabilités connues, a-t-il déclaré. De nombreuses images de conteneurs n’ont aucune information sur leur provenance, ce qui rend difficile de vérifier d’où elles viennent ou si quelqu’un les a falsifiées. Naturellement, cela augmente la surface d’attaque.

« La seule façon de résoudre ces problèmes est de créer une distribution conçue pour les environnements natifs de conteneurs/cloud », a déclaré Lorenc.

Wolfi est une distribution spécifique aux conteneurs qui peut « simplifier considérablement » le processus en supprimant la prise en charge des fonctionnalités de distribution traditionnelles – et souvent non pertinentes -, a-t-il déclaré. Cela permet également aux développeurs de saisir la nature immuable des conteneurs et d’éviter complètement les mises à jour de packages, au lieu de reconstruire à partir de zéro avec de nouvelles versions.

« La réalité est que les logiciels ont des vulnérabilités et cela ne changera jamais », a déclaré Lorenc. « Et pour commencer à améliorer la sécurité de la chaîne d’approvisionnement logicielle, nous devons commencer là où le développement commence – avec les développeurs – et fournir des outils qui sécurisent par défaut le cycle de vie du développement, de la construction à la production. »

Les exigences d’une chaîne d’approvisionnement logicielle

Wolfi permet des images Chainguard spécialement conçues avec un minimum de composants pour aider à réduire la surface d’attaque d’une entreprise et générer des SBOM au moment du développement, a déclaré Lorenc. Il est entièrement reproductible par défaut, ce qui signifie que chaque package peut être reconstruit à partir du code source de Chainguard.

« Cela signifie qu’un utilisateur recevra le même package », a-t-il déclaré. Il permet également aux développeurs de créer des images « inviolables et fiables ».

L’entreprise produit un SBOM au début de la création du logiciel, et non après coup, a-t-il souligné. La base est sécurisée par défaut, s’adapte pour prendre en charge les organisations exécutant des environnements massifs et fournit le contrôle nécessaire pour résoudre la plupart des menaces modernes de la chaîne d’approvisionnement.

« La rétro-ingénierie des SBOM ne fonctionnera pas et va à l’encontre de leur objectif avant même qu’elles ne puissent être utilisées efficacement », a déclaré Lorenc. « Wolfi aide à résoudre ce problème. »

Chainguard Enforce est désormais disponible. La plateforme de gestion des risques de la chaîne d’approvisionnement a été lancée en tant que programme d’accès anticipé en avril. Il inclut désormais de nouvelles fonctionnalités telles que le mode « sans agent », une interface utilisateur repensée avec des métriques de sécurité, la certification SOC2 Type 1, des politiques de sécurité organisées et des alertes et des intégrations avec CloudEvents, OPA Gatekeeper et Styra, le fournisseur Terraform et Vault.

Une vue plus holistique

Au total, les entreprises devraient « avoir une vision plus globale » de la sécurité de la chaîne d’approvisionnement logicielle, a déclaré Norton.

« Se concentrer sur une seule dimension de la chaîne d’approvisionnement logicielle est à la fois non évolutif et inadéquat », a-t-elle déclaré. « Tous les vecteurs d’attaque de la chaîne d’approvisionnement logicielle sont liés et interdépendants. »

Ainsi, en plus de sécuriser les composants indépendants de leurs applications, les entreprises doivent verrouiller et protéger tous les points d’entrée numériques dans leurs usines logicielles.

« Sécuriser un seul point d’entrée d’attaque équivaut à verrouiller la porte d’entrée de votre maison tout en laissant la porte arrière ouverte », a déclaré Norton.

Les entreprises doivent trouver des outils complets qui offrent une protection tout au long du cycle de vie du développement logiciel. Les fournisseurs établis de DevSecOps et de tests de sécurité des applications intègrent de plus en plus la sécurité de la chaîne d’approvisionnement logicielle dans leurs grandes plates-formes, de sorte que les organisations devraient se tourner vers leurs partenaires actuels pour comprendre leurs capacités, a-t-elle déclaré. Dans le même temps, le nombre croissant de startups qui s’attaquent à ce défi ne doit pas être négligé.

À l’avenir, les conseils et les réglementations des gouvernement – comme Biden de Décret exécutif sur l’amélioration de la cybersécurité de la nation, conseils de l’Institut national des normes et de la technologie ( NIST) et Les mémos du Bureau de la gestion et du budget – continueront d’être des forces incroyablement puissantes. Elle les attribue comme un « contributeur important à la rapidité avec laquelle la sécurité de la chaîne d’approvisionnement logicielle est devenue une priorité ».

« Ce ne sont pas seulement les fournisseurs de logiciels qui vendent au gouvernement qui seront touchés ; il y aura des impacts en aval », a déclaré Norton. « Alors que de plus en plus de fournisseurs de logiciels adoptent ces normes, les organisations non gouvernementales s’attendront à la même diligence raisonnable. »

L’éducation est essentielle

Le manque de formation complète aggravera encore le problème de sécurité de la chaîne d’approvisionnement, a déclaré Lisa Tagliaferri, responsable de la formation des développeurs chez Chainguard. Ceci est un obstacle à une adoption plus large des recommandations de sécurité de la chaîne d’approvisionnement logicielle, et est dû à un « paysage technique en constante évolution » et à un manque d’outils open source comme Sigstore.

Cela a incité Chainguard Academy, qui fournit des ressources éducatives gratuites et des pratiques recommandées pour les outils de sécurité de la chaîne d’approvisionnement logicielle.

« L’un des moteurs de nos efforts était de fournir aux ingénieurs logiciels et aux responsables technologiques les ressources dont ils ont besoin pour identifier, atténuer et corriger les vulnérabilités logicielles grâce à des outils et des solutions qui leur permettent d’aborder la sécurité tôt et souvent tout au long de leur cycle de développement. », a déclaré Tagliaferri.

L’Académie s’appuie sur les efforts éducatifs antérieurs de l’entreprise, notamment Securing Your Software Supply Chain with Sigstore en partenariat avec Linux Foundation et edX.

Les développeurs utilisant Chainguard Academy pourront également travailler avec des images de conteneurs Sigstore et distroless directement depuis leurs navigateurs via un terminal bac à sable interactif.

« Nous pensons qu’un élément clé de la sécurisation par défaut de la chaîne d’approvisionnement en logiciels consiste à contribuer à combler ce déficit de compétences », a déclaré Tagliaferri. « Pour atteindre cet objectif, il était important que nous gardions les ressources éducatives essentielles ouvertes à tous, car nous devons tous faire notre part pour aider à résoudre le problème de sécurité de la chaîne d’approvisionnement des logiciels. »

La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur les technologies d’entreprise transformatrices et d’effectuer des transactions. Découvrez nos Briefings.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici