Linux Foundation, Red Hat, Google и Purdue University предлагают вариант защиты от атак, аналогичных Solarwinds

Linux Foundation, Red Hat , Google и Purdue University приготовили ответ «китайским хакерам» стоящим за атаками на Solarwinds. Фото: Pixabay

Sigstore будет давать разработчикам возможность безопасно подписывать программные артефакты, такие как файлы выпуска, образы контейнеров и двоичные файлы. Эти записи о подписании затем будут храниться в защищённом от несанкционированного доступа общедоступном журнале, сообщает ZDNet.

Читайте в тему:

• Электронную почту массово взламывают через веб-версию Outlook.
• Программа-вымогатель расшифровывает только тех жертв, которые присоединяются к её серверу Discord.
• Материнские платы Supermicro и Pulse Secure уязвимы для TrickBoot.

Эта услуга будет бесплатной для всех разработчиков и поставщиков программного обеспечения. Код sigstore и инструменты работы, которые будут использоваться для выполнения этой работы, все еще разрабатываются сообществом sigstore.

При этом, как ранее заметил Дэвид Уиллер, директор Linux Foundation по безопасности цепочки поставок с открытым исходным кодом ведут к созданию проверенных воспроизводимых сборок .

Уиллер объяснил: « Воспроизводимая сборка — это такая», которая всегда дает одни и те же выходные данные при одинаковых входных данных, чтобы результаты сборки можно было проверить. Проверенная воспроизводимая сборка — это процесс, при котором независимые организации создают сборку из исходного кода и проверяют, что полученные результаты корректны».

Бизнесу: Intel объединяет усилия с Microsoft и DARPA, чтобы помочь построить «Святой Грааль» шифрования

Это, в свою очередь, можно использовать для создания спецификации программного обеспечения (SBOM). С SBOM вы будете точно знать, какой код вы используете в каком-либо конкретном проекте. Это ещё один аргумент в пользу открытого исходного кода. Например, взломанная программа Orion , Solarwinds, как и все проприетарное программное обеспечение, представляет собой чёрный ящик. Никто, кроме его разработчиков, не знает, что в нем. И, как мы теперь знаем, Solarwinds не знала, что внутри него, пока внешние компании не заметили его уязвимость. 

Sigstore будет избегать этого, объяснил Люк Хайндс, руководитель отдела безопасности Red Hat, поскольку это позволит «всем сообществам разработчиков ПО с открытым исходным кодом подписывать свой продукт для создания прозрачного и проверяемого программного обеспечения в цепочке поставок».

Бизнесу: Dropbox купила DocSend: клиенты получат новые возможности документооборота

Инициаторы проекта утверждают, что задача, которую они реализуют довольно непростая. Хотя сегодня доступны некоторые инструменты цифровой подписи с открытым исходным кодом, лишь немногие разработчики их используют. Многие программисты даже сейчас не видят смысла предпринимать дополнительные шаги, необходимые для «подписи» своего программного обеспечения. 

Кроме того, как сказал Мэтт Сикер, член Apache Software Foundation и старший инженер по безопасности CloudBees , «приложения, обычно используемые для подписи программного обеспечения, обычно имеют сбивающий с толку пользовательский интерфейс и требуют изучения основных концепций криптографии для их правильного использования. Без какой-либо политики подписи кода вместо более крупного проекта с открытым исходным кодом многие разработчики просто не знают о преимуществах подписания своего программного обеспечения ».

Из-за этого инструменты для подтверждения происхождения и подлинности программного обеспечения основаны на зачастую несопоставимом наборе подходов и форматов данных. Решения, которые действительно существуют, часто полагаются на дайджесты, которые хранятся в небезопасных системах, подверженных взлому. 

Офтоп: Google сильнее связывает Chromebook и телефоны Android: что получили пользователи

Новые и лучшие инструменты для подписи находятся на подходе. Например, каталоги, управляемые Tidelift, отслеживают хорошо известные, проактивно обслуживаемые компоненты, которые охватывают общие языковые среды, такие как JavaScript, Python, Java, Ruby, PHP, .NET и Rust.

Даже в этом случае очень немногие проекты с открытым исходным кодом в настоящее время подписывают свои выпуски программного обеспечения криптографически. Во многом это из-за проблем, с которыми сталкиваются разработчики программного обеспечения при безопасном управлении ключами, взломе / отзыве ключей и распространение открытых ключей и дайджестов артефактов. Пользователи слишком часто вынуждены сами решать, каким ключам доверять и как проверить подпись. Это не работа для обычных ИТ-специалистов. 

Офтоп: Стали известны подробности о ленте новостей Windows: как устроен конкурент Google Discover

Другими словами, как Алекс Karasulu, также член ASF и OptDyn генеральный директор, отметил: «Проблема не в том, что разработчики с открытым исходным кодом ленивы или не хотят делать сложную работу по подписи продуктов. Проблема в том, что стандартного механизма двухфакторной аутентификации (2fa) для подписи кода пока не существует. Есть некоторые методы для достижения этого: версии Git могут быть подписаны, а процесс слабо защищён с помощью обязательных учётных записей 2FA на GitHub, или ключи подписи кода GPG могут храниться на устройствах, требующих второго фактора для цифровой подписи чего-либо, включая код с контрольными суммами. Есть много способов «снять шкуру с этой кошки», но нет стандарта, обеспечивающего единообразие процесса».

Без стандартизации обеспечить безопасность цепочки поставок программного обеспечения будет практически невозможно. Сторонники магазина sigstore надеются, что смогут исправить эти проблемы. Цель стоит затраченных усилий. Как сказал Джош Аас, исполнительный директор Internet Security Research Group (ISRG) и Let's Encrypt , «обеспечение безопасности развёртывания программного обеспечения должно начинаться с проверки того, что мы работаем с тем программным обеспечением, которое мы знаем. Sigstore представляет собой прекрасную возможность принести больше уверенность и прозрачность в цепочке поставок ПО с открытым исходным кодом ».

Офтоп: McAfee продаёт корпоративный бизнес: частные потребители получат больше

В конце концов, как заметил Сантьяго Торрес-Ариас, доцент кафедры электротехники и вычислительной техники Purdue и основатель проекта: «Программная экосистема остро нуждается в чем-то подобном, чтобы сообщать о состоянии цепочки поставок. Я предполагаю что, когда sigstore ответит на все вопросы об источниках программного обеспечения и праве собственности, мы можем начать задавать вопросы, касающиеся адресатов программного обеспечения, потребителей, соблюдения требований (юридических и иных), выявления преступных сетей и защиты критически важной инфраструктуры программного обеспечения».

Отрасли действительно нужен sigstore, резюмирует издание. Даже сейчас мы до сих пор не осознали, насколько серьёзной была катастрофа Solarwinds. Без действительно безопасной цепочки поставок с открытым исходным кодом мы можем быть уверены, что столкнёмся с ещё более серьёзными бедствиями.

Как сообщал Startpack, ранее Dell и Faction представили новый мультиоблачный сервис для защиты данных.

Startpack также подготовил список популярных и эффективных антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. 

Особая рекомендация: Антивирус Касперского — антивирусная программа, целью которой является предотвращение заражения системы пользователя, а не поиск уже обнаруженного вредоносного программного обеспечения в системе.

Полезная новость? Прокомментируйте её или кликните на значок "+" ниже!