2024.03.09 13:00

確保開源軟體的安全性到底是誰的責任?CISA 宣布了一系列改善軟體供應鏈的安全計畫

ADVERTISEMENT

美國政府和一些大型開源軟體基金會與套件儲存庫宣佈了一系列改善軟體供應鏈安全的計劃,同時也再次呼籲開發人員增加對此類工作的支持。

在政府方面,這包括美國網路安全與基礎設施安全局 (CISA) 將領導的聯邦政府與開源軟體開發人員和營運商之間自願的威脅情報共享計畫。

CISA 局長珍·伊斯特利(Jen Easterly)本週在該機構的開源軟體安全峰會的主題演講中解釋說:「我們希望幫助建立即時合作關係,以應對安全事件。」

ADVERTISEMENT

伊斯特利利用她的演講宣佈了新的公私合作夥伴關係。

她指出:「我們了解,與這個社群合作將和我們通常與公司合作的方式有所不同,尤其考慮到開源軟體的全球性所帶來的獨特國際複雜性。」她補充說,「因此,你們的參與和回饋對於確保該計畫的成功至關重要。」

除了威脅情報共享計畫之外,五大開源軟體組織還承諾採取一系列措施來改善其各自專案中的安全性。

ADVERTISEMENT

Rust 基金會將為 crates.io 套裝軟體儲存庫開發用於鏡像和二進位簽名的公共金鑰基礎設施 (PKI)。 該組織還發表了針對 crates.io 的威脅模型和辨識惡意套裝軟體的工具。

此外,Python 軟體基金會將將其 Python 套裝軟體索引 (PyPI) 的「可信發表」(Trusted Publishing)計畫擴展到除 GitHub 之外的其他提供商。「可信發表」允許 PyPI 維護者透過 OpenID Connect (OIDC) 標準驗證他們的身份,該標準使用短期的身份權杖代替長期憑證來保證身份。

「可信發表」計畫在 2023 年 4 月啟動時支援 GitHub。在本次高峰會上,Python 軟體基金會透露它將很快支援 GitLab、Google Cloud 和 ActiveState。

ADVERTISEMENT

它還致力於為 PyPI 中的惡意軟體報告和緩解提供 API 和相關工具。 此外,它正在最終確定數位證明的索引支援。 這將允許在 Python 套裝軟體儲存庫(例如 PyPI)上上傳和分發用於驗證這些證明的數位簽章證明和中繼資料。

Packagist 和 Composer 最近加入了漏洞資料庫掃描和其他措施,以防止攻擊者未經授權接管套裝軟體。 今年,專案維護者還將完成對現有程式碼庫的安全審計。

由 Sonatype 維護的 Java 和 JVM 語言最大的開源程式碼存放庫 Maven Central 今年正在將發表者轉移到一個具有更好儲存庫安全性的新發表門戶。 據悉,這包括計畫支持多因素認證 (MFA)。

ADVERTISEMENT

Sonatype還在著手密鑰安全性,包括 Sigstore 實現等關鍵安全措施,並且正在評估「可信發表」(例如 PyPI 目前已實施)和對命名空間的存取控制。

NPM 自稱是世界上最大的軟體註冊中心,雖然這不是什麼新鮮事,但它在 2022 年開始要求影響力較大的專案維護者使用 MFA。 去年,NPM 開發了允許維護者自動生成套裝軟體來源和軟體材料清單 (SBOM) 的工具,這些工具可以讓任何使用開源套裝軟體的人跟蹤和驗證程式碼依賴項。

從 Log4j 事件吸取的教訓

自 2021 年底發現開源 Java 基於 Log4j 的日誌記錄庫存在嚴重漏洞以來,確保軟體安全性,尤其是開源軟體(OSS)安全性,就一直是拜登政府的重中之重。

伊斯特利在她的主題演講中宣稱:「CISA 特別關注 OSS 安全,因為正如在座的各位所知,我們絕大多數關鍵基礎設施都依賴於開源軟體。」

「雖然 Log4Shell 漏洞可能讓許多政府部門大吃一驚,但這表明了這個社群多年來一直知道並警告過的問題:由於其廣泛部署,利用 OSS 漏洞的危害性會更大。」她補充道。

除了追究銷售漏洞產品的軟體發展商的責任之外,E伊斯特利還反復呼籲供應商支援開源軟體安全性——無論是透過資金或專門的開發人員來幫助維護和保護最終進入其商業專案中的原始碼。

軟體製造商的角色

伊斯特利在本周的峰會上再次呼籲行動,引用了一份哈佛研究報告 [PDF],該報告估計開源軟體在全球創造了超過 8 兆美元的價值。

伊斯特利指出:「我確實想請所有軟體製造商幫忙做兩件事。」

她接著說:「我們需要公司既要負責任地消費他們使用的開源軟體,又要可持續地貢獻這些軟體。 這意味著正確地審查他們的開源軟體並回饋社群——無論是透過財務支持還是透過員工時間的貢獻——以幫助確保所有依賴該開源軟體 (OSS) 的人都能從提高品質和安全性中受益。」

然而,Synopsys 的高級軟體經理麥克·麥圭爾(Mike McGuire)在接受 The Register 採訪時表示,雖然美國聯邦政府對開源軟體的支援很重要,但修補漏洞更重要。

麥圭爾警告說:「無論因為這些舉措做了什麼,如果沒有開發組織投入更多資源來管理他們利用的開源軟體,那麼任何商業應用程式都不會變得更安全。」

Synopsys 最近發表了其 2024 年開源軟體安全報告,麥圭爾指出其調查結果:「當超過 70% 的商業應用程式存在高風險的開源軟體漏洞,並且所有漏洞的平均年齡為 2.8 年時,很明顯,最大的問題不在於開源軟體社群,而是未能及時修補漏洞的組織。」

 

ADVERTISEMENT