Los operadores de los principales repositorios de paquetes de software de código abierto (OSS), incluidas la Python Software Foundation y la Rust Foundation, han establecido las acciones que están tomando para ayudar a asegurar y proteger mejor el ecosistema de software de código abierto (OSS), subrayado por una serie de fallas de OSS de alto perfil en los últimos años, más notablemente Log4Shell. OSS fue el tema de una cumbre de seguridad de dos días convocada por la directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), Jen Easterly, en los EE. UU. esta semana, que reunió a fundaciones de OSS, repositorios de paquetes, representantes de la industria de TI en general y agencias gubernamentales de EE. UU. y organizaciones de la sociedad civil, para explorar nuevos enfoques para fortalecer la seguridad del OSS y realizar ejercicios de guerra sobre la respuesta a la vulnerabilidad del OSS. «El software de código abierto es fundamental para la infraestructura crítica de la que dependen los estadounidenses todos los días», dijo Easterly. «Como coordinador nacional para la seguridad y resiliencia de la infraestructura crítica, estamos orgullosos de anunciar estos esfuerzos para ayudar a proteger el ecosistema de código abierto en estrecha colaboración con la comunidad de código abierto, y estamos entusiasmados con el trabajo por venir». «El software de código abierto es una base de misión crítica del ciberespacio», añadió Anjana Rajan, subdirectora nacional cibernética de seguridad tecnológica. “Garantizar que tengamos un ecosistema de software de código abierto seguro y resiliente es un imperativo de seguridad nacional, un facilitador de la innovación tecnológica y una encarnación de nuestros valores democráticos. Como presidente de la Iniciativa de seguridad de software de código abierto [OS3I]La ONCD se compromete a garantizar que esto siga siendo una prioridad para la Administración Biden-Harris y elogia el liderazgo de CISA al convocar este importante foro”. Después de la conferencia, CISA también se ha comprometido a trabajar estrechamente con los repositorios de paquetes para impulsar la adopción de sus recientemente lanzados Principios para la seguridad de los repositorios de paquetes, desarrollados conjuntamente con el Grupo de Trabajo de Seguridad de Repositorios de Software de la Open Source Security Foundation (OpenSSF), y lanzó un nuevo esfuerzo para permitir la colaboración voluntaria y el intercambio de datos cibernéticos con los operadores de infraestructura OSS para proteger la cadena de suministro. Algunas de las iniciativas impulsadas por los repositorios de paquetes OSS incluyen: La Fundación Rust está trabajando actualmente para incorporar una infraestructura de clave pública (PKI) para el repositorio Crates.io para duplicación y firma binaria. También publicó un modelo de amenaza más detallado para Crates.io e introdujo nuevas herramientas para identificar actividad maliciosa. Actualmente, la Python Software Foundation está incorporando más proveedores a PyPI para permitir publicaciones confiables y sin credenciales, y está ampliando el soporte de GitHub para incluir GitLab, Google Cloud y ActiveState. También se está trabajando para proporcionar una API y otras herramientas para informar y mitigar el malware, con el objetivo de aumentar la capacidad de PyPI para responder al problema de manera rápida y efectiva. Además, el ecosistema está finalizando el soporte de índice para certificaciones digitales, PEP 740, que permitirá cargar certificaciones firmadas digitalmente y sus metadatos de verificación en repositorios de paquetes de Python. Packagist y Composer incorporaron recientemente el escaneo de bases de datos de vulnerabilidades y otras medidas para evitar que los atacantes se apoderen de paquetes sin autorización, y realizarán más trabajo en línea con el marco de Principios para la seguridad del repositorio de paquetes y realizarán una auditoría en profundidad de las bases de código existentes más adelante. en 2024. Npm, que ya exige que quienes mantienen proyectos de alto impacto se inscriban en la autenticación multifactor (MFA), ha introducido recientemente herramientas que les permiten generar automáticamente la procedencia de los paquetes y listas de materiales de software para mejorar la capacidad de los usuarios para rastrear y verificar. la procedencia de sus dependencias. Maven Central de Sonatype, desde 2021, ha estado escaneando automáticamente repositorios preparados en busca de vulnerabilidades e informando a sus desarrolladores. En el futuro, lanzará un portal de publicación con seguridad de repositorio mejorada, incluido soporte para MFA. Otras iniciativas futuras incluyen la implementación de Sigstore, la evaluación de Trusted Publishing y el control de acceso a los espacios de nombres. Mantener el código seguro Mike McGuire, gerente senior de soluciones de software de Synopsys Software Integrity Group, dijo: «Los esfuerzos de la comunidad de código abierto, en conjunto con CISA como parte de esta iniciativa, son indicativos de una verdad más amplia, que es que el código abierto Los mantenedores y administradores de proyectos generalmente hacen un trabajo eficaz al mantener su código seguro, actualizado y de calidad aceptable. «No hay duda de que los actores de amenazas se han aprovechado de la confianza inherente que tenemos en el código abierto, por lo que estos esfuerzos deberían contribuir en gran medida a evitar que los ataques a la cadena de suministro comiencen en el nivel del desarrollo de proyectos de código abierto», dijo. . «Sin embargo, no importa lo que se haga gracias a estos ejercicios, ninguna aplicación comercial será más segura si las organizaciones de desarrollo no invierten más en la gestión del código abierto que aprovechan», afirmó McGuire. “Cuando más del 70% de las aplicaciones comerciales tienen una vulnerabilidad de código abierto de alto riesgo y la edad promedio de todas las vulnerabilidades es de 2,8 años, está claro que la mayor preocupación no es la comunidad de código abierto, sino que las organizaciones no logran mantener al día con los distintos trabajos de parches de seguridad que está realizando la comunidad”, dijo.

Source link