Aquí están las correcciones para los ataques de la cadena de suministro de código abierto:

Comentario: El código abierto es más popular que nunca y no ha sido atacado, pero hay cosas que los proveedores de la nube pueden hacer para que OSS sea más seguro.

Imagen: Kheng Guan Toh / Shutterstock

Jack Wallen, colaborador de Tech Republic, dijo: “El software de código abierto ha demostrado ser de nivel empresarial durante mucho tiempo”. El tipo de sona también es correcto. Los ataques a la cadena de suministro a los populares repositorios de software de código abierto aumentaron un 650% en comparación con el año pasado. De hecho, su principal objetivo es la enorme popularidad de su software de código abierto.

Sin embargo, el presidente Biden pide más énfasis en la seguridad e integridad del software de código abierto, no estamos cerca de saber cómo lograrlo.Algunos proyectos más grandes como Kubernetes Se necesita apoyo corporativo para asegurar una gran inversión para proteger el software, otros pueden Se puede usar con frecuencia, pero puede ser una pequeña cantidad de trabajo de amor Desarrollador. Las órdenes federales no le brindan mágicamente los recursos que necesita para actualizar constantemente estos proyectos de poco dinero.

Aún así, hay esperanza. Los proveedores de la nube y otras empresas incorporan cada vez más software de código abierto para ofrecer productos integrales. Los clientes pueden verlos para garantizar la seguridad del código que operan.

Mira: Política de respuesta a incidentes de seguridad (TechRepublic Premium)

Código abierto bajo ataque

Según un estudio de Sonatype, el código abierto continúa creciendo en popularidad, alcanzando los 2,2 billones de paquetes de código abierto extraídos de repositorios como npmjs y Maven en 2021. A medida que el software se vuelve fundamental para la forma en que operan la mayoría de las organizaciones, los desarrolladores deben construir en un tasa de aceleración. Con más de 100 millones de repositorios disponibles solo en GitHub, muchos de los cuales son de alta calidad, los desarrolladores buscan el código abierto para obtener un excelente software rápidamente.

Eso es bueno. Pero no es perfecto.

Sonatype examinó el 10% superior de los proyectos más populares de Java, JavaScript, Python y .NET y descubrió que el 29% de ellos contenía al menos una vulnerabilidad de seguridad conocida. A medida que continúa el informe, la antigua forma de explotar las vulnerabilidades en los proyectos de código abierto es buscar agujeros de seguridad sin parches que sean de acceso público en el código de código abierto. Pero ahora, los piratas informáticos están “tomando la iniciativa, inyectando nuevas vulnerabilidades en proyectos de código abierto que proporcionan una cadena de suministro global y explotando esas vulnerabilidades”.

Hasta ahora, los repositorios de Node.js (npm) y Python (PyPI) han sido los principales objetivos. ¿Cómo se separan los atacantes de proyectos populares? Existen varios métodos, el más destacado de los cuales se llama dependencia o confusión de espacio de nombres.

El autor del informe dijo: 淚 Los vectores de ataque innovadores y altamente dirigidos nos permiten introducir automáticamente código malicioso o no deseado sin recurrir a técnicas de typosquatting o brandjack. Un atacante malintencionado expone un paquete malintencionado a un repositorio público como npmjs que no regula la identidad del nombre del nombre, utilizando exactamente el mismo nombre y una nueva versión semántica. “

Estos y otros nuevos ataques están empezando a crecer (Figura A).

Imagen: tipo Sona

Hay al menos dos problemas con la mejora de la seguridad del código abierto. Lo primero que dije es que no todos los encargados de mantenimiento de proyectos tienen los recursos y el conocimiento para proteger eficazmente su código. En el lado de los receptores, muchas empresas no pueden corregir rápidamente ni siquiera los problemas de seguridad conocidos. Pero eso no significa que las cosas sean desesperadas. Está lejos de eso.

Se que las piezas encajan

Es demasiado pronto para llamarlo una tendencia, pero el analista de RedMonk, Stephen O’Grady, dice que la industria está pasando de primitivas de infraestructura aisladas (computación, almacenamiento, etc.) a flujos de trabajo integrados abstractos. Enfatiza los indicadores iniciales mostrados. Ash Said, “[V]Endo ha evolucionado más allá del ámbito original de las competencias básicas y está ampliando su base de funciones horizontalmente para proporcionar una experiencia de desarrollador más completa e integrada. Cada parte del flujo de trabajo de desarrollo de aplicaciones, desde el control de versiones hasta el monitoreo, las bases de datos y la construcción del sistema, debe integrarse mejor y de manera más fluida. ”

Todo esto es un esfuerzo para hacer la vida más fácil a los desarrolladores.

¿Qué hizo que su trabajo fuera difícil? En una publicación reciente lo entendí, “La primera y, a veces, la única prioridad de los desarrolladores puede haber sido una vez la escala, pero hoy es mucho más probable que sea la velocidad”. Como se mencionó anteriormente, esa “velocidad”. The Need for anima tanto a los desarrolladores a adoptar la nube como a los desarrolladores a adoptar el código abierto. Todo lo que elimina la fricción y le permite crear e implementar software más rápido. En muchos casos, ofrecen su código abierto como un servicio administrado, eliminando la fricción entre hardware y software y permitiendo a los desarrolladores moverse a la máxima velocidad con restricciones mínimas.

Mira: Políticas de selección y gestión de proveedores (TechRepublic Premium)

Pero no se trata solo de hacer que Apache Kafka esté disponible como un servicio para los proveedores de la nube, por ejemplo. No, lo que está sucediendo es que O’Grady ha empaquetado Kafka (en este ejemplo) como parte de un servicio en la nube más grande. En lugar de proporcionar capas sobre el hardware base, el sistema operativo u otras primitivas subyacentes similares, proporciona la pila de infraestructura completa y proporciona un nivel más alto de capacidades o servicios de administración especializados. Hacer.”

Esto nos permite volver a estos ataques a la cadena de suministro.

Los proveedores son cada vez más “cuando envían niveles más altos de capacidades de gestión profesional”[s] O servicio[s]”Probablemente también serán la fuente y los ganchos de seguridad para los componentes del servicio, lo que permitirá que más proveedores de la nube continúen utilizando estos componentes, sin mencionar por contrato”. Debe invertir en desarrollo, mantenimiento y seguridad. Los proveedores de la nube ofrecen OpenSSL como ejemplo, y los desafortunados mantenedores de código abierto no serán responsables en caso de problemas. El apoyo de proveedores de nube que estoy buscando.

Todavía es temprano, pero esperamos que esta adopción generalizada de software de código abierto para ofrecer servicios en la nube de mayor nivel conduzca a una contribución más amplia a los proyectos de código abierto de los que dependen estos servicios. interés propio..

Divulgación: trabajo para MongoDB, pero las opiniones expresadas aquí son mías..

Boletín semanal de código abierto

No se pierda los consejos, tutoriales y comentarios sobre el sistema operativo Linux y las aplicaciones de código abierto.

Regístrate hoy

Ver también

Por qué necesita envolver las llaves de su auto en papel de aluminio Inundaciones y deslizamientos de tierra matan a 116 personas en India y Nepal Hash de Brasil ha recaudado $ 40 millones para TechCrunch, un software de pago de marca blanca, en una ronda liderada por QED y Kaszek. CACI gana el contrato de la USAFRL para desarrollar un prototipo de láser multiespectral Thales gana un contrato para actualizar el sistema de señalización portugués Latest Technology News

    Por qué necesita envolver las llaves de su auto en papel de aluminio Inundaciones y deslizamientos de tierra matan a 116 personas en India y Nepal Hash de Brasil ha recaudado $ 40 millones para TechCrunch, un software de pago de marca blanca, en una ronda liderada por QED y Kaszek. CACI gana el contrato de la USAFRL para desarrollar un prototipo de láser multiespectral Thales gana un contrato para actualizar el sistema de señalización portugués

Similar Posts

Leave a Reply