CISA предлагает расширить поддержку открытого исходного кода

Агентство по кибербезопасности и инфраструктурной безопасности (CISA) объявило о ряде ключевых действий, которые, как оно надеется, улучшат экосистему открытого кода.

Эти меры были объявлены на двухдневном саммите по безопасности программного обеспечения с открытым исходным кодом (OSS), в котором приняли участие лидеры сообщества OSS. CISA заявило, что признает, что OSS "лежит в основе важнейших услуг и функций современной жизни", и цель саммита - начать прогресс в повышении безопасности этой критически важной экосистемы. Агентство заявило, что актуальность этой задачи подчеркивается такими дефектами безопасности, как уязвимость Log4Shell в 2021 году.

CISA объявила о ряде действий, которые она предпримет для обеспечения безопасности экосистемы открытого кода в партнерстве с сообществом разработчиков.

Первым шагом станет работа по содействию принятию Принципов обеспечения безопасности репозиториев пакетов. Этот документ был разработан CISA и рабочей группой по обеспечению безопасности репозиториев программного обеспечения Open Source Security Foundation (OpenSSF). Принципы определяют добровольные уровни безопасности для репозиториев пакетов.

Кроме того, CISA опубликует материалы, полученные в ходе настольных учений саммита, для использования сообществом разработчиков открытого кода с целью улучшения их возможностей по поиску уязвимостей и реагированию на инциденты.

В более практическом плане пять наиболее распространенных репозиториев пакетов также объявили об изменениях в соответствии с принципами безопасности репозиториев пакетов. Фонд Rust Foundation работает над внедрением инфраструктуры открытых ключей для репозитория пакетов Crates.io для зеркалирования и бинарной подписи. Фонд также опубликовал подробную модель угроз для Crates.io и создал инструментарий для выявления вредоносной активности.

Python Software Foundation работает над добавлением в PyPI дополнительных провайдеров для публикации без учетных данных и расширяет поддержку GitHub, включая GitLab, Google Cloud и ActiveState. Ведется работа над созданием API и соответствующих инструментов для быстрого информирования о вредоносном ПО и борьбы с ним. Наконец, экосистема Python завершает работу над PEP 740 ("Поддержка индекса для цифровых заверений"), чтобы обеспечить возможность загрузки и распространения заверений с цифровой подписью и метаданных, используемых для проверки этих заверений, в репозитории пакетов Python, например PyPI.

Packagist и Composer недавно ввели сканирование баз данных уязвимостей и меры по предотвращению несанкционированного захвата пакетов злоумышленниками, а npm представил инструментарий, позволяющий сопровождающим автоматически генерировать данные о проверке пакетов и SBOM.

Maven Central переводит издателей на новый портал публикации, который повышает безопасность репозитория, включая запланированную поддержку многофакторной аутентификации. В числе предстоящих ключевых инициатив - внедрение Sigstore, оценка Trusted Publishing и контроль доступа к пространствам имен.