八個值得關注的開源安全項目
責編:gltian |2022-09-14 14:28:182022年開源安全邁出了一大步。開源安全不僅是今年各大網絡安全會議議程的重中之重,業界還推出了大量相關措施、項目和指南,以期提高開源代碼、軟件和開發的網絡彈性。
Linux基金會開源供應鏈安全主管David A. Wheeler指出:提高開源安全性極為重要,因為世界正運行在軟件之上。最新研究表明,今天的應用程序平均70%到90%的源代碼都來自開源軟件(OSS)組件,如果OSS容易受到攻擊,就會出現嚴重問題。”
以下,是2022年八個值得關注的開源安全計劃(按時間順序)。
白宮開源安全峰會
1月,白宮召集政府和私營部門討論提高開源軟件安全性的舉措。會議參與者包括負責網絡和新興技術的國家安全副顧問Anne Neuberger和國家網絡總監Chris Inglis,以及來自Akamai、亞馬遜、蘋果、微軟、Cloudflare、Facebook/Meta、Linux基金會、開源安全基金會等科技公司的代表。
“與會者就如何在開源軟件的安全性方面產生影響,同時有效地參與和支持開源社區進行了實質性和建設性的討論,”白宮的一份宣讀報告稱:“討論集中在三個主題:防止代碼和開源包中的安全缺陷和漏洞,改進發現和修復漏洞的過程,以及縮短分發和實施修復程序的響應時間。”
白宮聲稱,所有參與者將在未來幾周繼續討論以支持這些舉措,這些舉措對所有感興趣的公共和私人利益相關者開放。
OpenSSF、Linux基金會發布開源軟件安全動員計劃
5月,OpenSSF和Linux基金會發布了開源軟件安全動員計劃,提出了十大戰略,其中包括在開源軟件中針對底層組件和操作進行短期和長期改進的步驟。它的三個核心安全目標是:
- 通過專注于防止代碼和開源包中的安全缺陷和漏洞來保護開源軟件的開發。
- 通過改進發現和修復缺陷的流程來改進漏洞的發現和修復。
- 通過加快修復補丁的分發和實施來縮短生態系統修補響應時間。
“廣泛部署的軟件中的漏洞對現代社會的安定構成了系統性威脅,因為政府服務、基礎設施提供商、非營利組織和絕大多數私營企業都依賴軟件來運作,”OpenSSF寫道:“是時候將安全最佳實踐應用于整個軟件生態系統,包括開源,包括更全面的一系列投資,將安全性從被動方法轉變為主動方法。”
JFrog推出Pyrsia項目,以保護開源軟件包、二進制代碼
5月,JFrog宣布推出Pyrsia項目(Project Pyrsia),這是一個去中心化的、網絡和軟件安全開發包存儲庫,它使用區塊鏈技術來保護開源軟件包免受漏洞和惡意代碼的影響。該公司表示,該項目旨在幫助開發人員為其軟件組件建立來源鏈,從而確立信心和信任。“使用Pyrsia,開發人員可以放心地使用開源軟件,因為他們知道框架中的組件沒有受到損害,而無需開發、維護或操作復雜的流程來安全地管理依賴項。”JFrog指出,該框架將有助于提供:
- 用于開源軟件的獨立、安全的開發網絡
- 軟件包的可信度
- 已知開源軟件依賴項的完整性
“在JFrog,我們相信只有為社區提供與企業相同的工具和服務,開源安全才會成功,”JFrog開發人員關系副總裁Stephen Chin評論道:“開源、可定制的架構和壯大、活躍的社區相結合,使Pyrsia成為獲取安全軟件包的最透明和最值得信賴的方式。”
OpenUK啟動開源安全之夏
6月,OpenUK推出了“開源安全之夏”,這是一項為期兩個月的計劃,其中包括專門針對開源軟件安全和供應鏈管理的活動、講座和播客。對話聚焦全球政府和企業在基于開源軟件的國家關鍵基礎設施方面的定位,以及開源軟件的維護、防護和管理。
GitGuardian宣布ggcanary項目來檢測開源軟件風險
7月,代碼安全平臺提供商GitGuardian宣布啟動一個開源項目(ggcanary),以幫助組織檢測受損的開發人員和DevOps環境。該公司表示,ggcanary項目旨在幫助企業更快地發現漏洞,并具有以下功能:
- 基于Terraform,使用HashiCorp開發的流行的基礎設施即代碼軟件工具來創建和管理AWS的canary令牌
- 高度敏感的入侵檢測,使用AWS CloudTrail審計日志來跟蹤攻擊者對canary令牌執行的所有類型的操作
- 部署在組織內部邊界、源代碼存儲庫、CI/CD工具、工單和消息傳遞系統(如Jira、Slack或Microsoft Teams)中的多達5000個活動AWS canary令牌的可擴展性
- 自身的警報系統與AWS簡單電子郵件服務(SES)、Slack和SendGrid集成。用戶還可以將其擴展為向SOC、SIEM或ITSM轉發警報
谷歌推出開源軟件漏洞賞金計劃
8月,谷歌啟動了開源軟件漏洞獎勵計劃(OSS VRP),以獎勵在谷歌的開源項目中的漏洞發現。在一篇博客文章中,谷歌指出OSS VRP計劃鼓勵安全研究人員報告谷歌產品組合的開源軟件中具有重大影響的漏洞,范圍如下:
- 存儲在谷歌GitHub公共存儲庫中的所有最新版本的開源軟件(包括存儲庫設置)
- 這些項目的第三方依賴項(在提交到Google的OSS VRP之前需要事先通知受影響的依賴項)
“最高獎項將頒發給在最敏感項目中發現的漏洞,這些項目包括:Bazel、Angular、Golang、Protocol buffers和Fuchsia。”谷歌表示,為了集中精力發現對供應鏈影響最大的發現,它歡迎提交:
- 導致供應鏈受損的漏洞
- 導致產品漏洞的設計問題
- 其他安全問題,例如敏感或泄露的憑據、弱密碼或不安全的安裝
谷歌表示,漏洞獎金范圍從100美元到31337美元不等,具體取決于漏洞嚴重程度和項目重要性。
CISA、NSA發布開源軟件供應鏈安全指南
8月,美國網絡安全和基礎設施安全局(CISA)和美國國家安全局(NSA)發布了開源軟件供應鏈安全指南,建議開發人員如何更好地保護美國軟件供應鏈,重點關注開源軟件。
“開發者應該使用專門的系統來下載、掃描和執行對開源庫的定期檢查,以查找新版本、更新以及已知或新漏洞,”該指南中寫道:“與所有軟件一樣,我們強烈建議對開發人員進行有關使用開源軟件、閉源軟件以及最佳緩解措施和注意事項的教育。”
管理團隊還應建立、管理和應用與開源軟件相關的發布標準,該指南補充說,應確保所有開源軟件的發布都符合公司范圍的標準,包括源代碼的漏洞評估。
OpenSSF發布npm最佳實踐,幫助開發者應對開源依賴風險
9月,OpenSSF發布了npm最佳安全實踐指南,以幫助JavaScript和TypeScript開發人員降低與使用開源依賴項相關的安全風險。該指南出自OpenSSF最佳實踐工作組之手,側重于npm的依賴項管理和供應鏈安全,涵蓋了各個領域,例如如何設置安全的CI配置、如何避免依賴項混淆以及如何降低依賴項被劫持造成的損失。
Linux基金會的Wheeler表示,開發人員使用開源組件帶來的最大安全風險是低估了直接和間接依賴項中的漏洞的潛在影響。“任何軟件都可能存在缺陷,如果不小心,可能會嚴重影響使用它的供應鏈。很多時候,許多依賴項是不可見的,開發人員和組織很難確保堆棧的所有層都不出問題。解決方案不是因噎廢食停止重用軟件,而是審慎明智地重用軟件,隨時準備好在發現漏洞時更新組件。”
來源:GoUpSec