GitHub и Gradle сотрудничают для усиления безопасности цепочки поставок

Интеграция сборок Gradle с Actions Github способствует внедрению лучших практик безопасности среди пользователей Gradle. Для этого существует новый официальный экшен GitHub с открытым исходным кодом, который генерирует полную и точную информацию о зависимостях в проектах Gradle благодаря Dependabot.

Безопасность цепочек поставок сейчас на пике популярности. Linux Foundation хорошо объясняет это:

Чтобы создать полезное программное обеспечение, мы не изобретаем колесо, а основываемся на уже проделанной работе, поставляемой в виде библиотек. Проблема в том, что даже посредственный проект с открытым исходным кодом может иметь множество таких зависимостей, которые сами зависят от других, образуя длинную цепочку. Это не проблема сама по себе, если только вредоносный код или уязвимость безопасности не найдут свой путь в этой цепочке.

Одним из способов защиты от нее является интеграция безопасности в жизненный цикл разработки программного обеспечения, а не отношение к ней как к последствию. Для этого GitHub, где сегодня хранится весь код, предлагает Dependabot - бота, который предупреждает вас о том, что в вашем репозитории используется зависимое ПО с известной уязвимостью, см. GitHub Dependabot Now Warns Of Vulnerabilities. С прошлого года была добавлена новая функциональность Export SBOM, которая генерирует по требованию соответствующие требованиям NTIA спецификации материалов для программного обеспечения (SBOM).

Как подробно описано в статье Github Provides Self-Service SBOMs, Github позволяет загрузить SBOMs в сервис Dependency Graph, который затем просканирует ваши зависимости на предмет известных уязвимостей, чтобы получить предупреждения Dependabot в случае их наличия. Кроме того, в GitHub появился GitHub Action, который встраивает процесс генерации SBOM в CI-результаты репозитория.

Поскольку Gradle является одним из наиболее используемых инструментов сборки среди пользователей GitHub, партнерство с Github привело к созданию нового Dependency Submission Action for Gradle, официального действия GitHub с открытым исходным кодом, которое генерирует полную и точную информацию о зависимостях в проектах Gradle и загружает ее в граф зависимостей GitHub. Эта информация позволяет сопровождающим просматривать зависимости своих проектов в GitHub и получать уведомления при обнаружении уязвимых зависимостей.

Обычно проблема заключается в том, что потребителям зачастую сложно сопоставить запись об уязвимости с используемыми ими версиями пакетов. Чтобы облегчить эту проблему и предоставить полные и точные версии зависимостей, Dependency Submission Action for Gradle применяет специализированный плагин Gradle, который запускает небольшую сборку Gradle, разрешающую все зависимости проекта. Это означает, что предоставленные версии зависимостей полностью совпадают с теми, которые фактически используются в проекте.

Таким образом, при обнаружении уязвимых зависимостей администраторы и сопровождающие проекта могут быть автоматически уведомлены с помощью оповещений Dependabot. Чтобы включить его для базового использования, вам понадобится простой YAML-файл в директории .github/workflows/ вашего репозитория, например, .github/workflows/dependency-submission.yml:

Это может решить одну часть уравнения безопасности цепочки поставок: выяснить, уязвима ли та или иная порядочность. Другая часть, гарантирующая, что источник зависимостей легален, немного сложнее. Здесь на помощь приходят решения по подписанию ваших артефактов с помощью таких инструментов, как sigstore-java, например, который мы представили в статье Sigstore Java - Sign And Verify Your Java Builds:

sigstore-java, находящийся в стадии разработки, - это инструмент для подписания и проверки дистрибутивов пакетов Java с помощью бесключевой подписи Sigstore. Подпись Sigstore позволяет разработчикам программного обеспечения безопасно подписывать программные артефакты, такие как файлы релизов, образы контейнеров и двоичные файлы. Эти подписи затем хранятся в защищенном от несанкционированного доступа публичном журнале - бесплатно.

Чтобы упростить подписание и публикацию в Maven central, деятельность по подписанию будет включена в инструменты сборки Java.
Maven и Gradle. Предполагается, что Gradle версии 7.3 или выше будет поддерживать Sigstore-подписание, а для проверки потребуется версия 8.2+. Однако этого еще не произошло, так что ожидайте этого в будущем.

Конечно, в области защиты цепочки поставок еще многое предстоит сделать, о чем подробно говорится в последнем исследовании ChainGuard "SLSA++ A Survey of Software Supply Chain Security", где рассматривается, как индустрия применяет лучшие практики. Для получения более подробной информации об этом обязательно ознакомьтесь с моей статьей "Обзор безопасности цепочки поставок программного обеспечения".