¿Qué es el Proyecto Alfa-Omega? Su propósito es «mejorar la seguridad de la cadena de suministro de software de código abierto global al trabajar con los mantenedores de proyectos para buscar sistemáticamente nuevas vulnerabilidades aún no descubiertas en el código de código abierto» y luego corregirlas. Esto es vital para mejorar la seguridad de código abierto.
Para que esto suceda, el grupo de socios de Linux Foundation, Open Source Security Foundation (OpenSSF), Google y Microsoft, están uniendo fuerzas para trabajar con expertos en seguridad y utilizar pruebas de seguridad automatizadas para mejorar la seguridad de código abierto. Microsoft y Google aportarán una inversión inicial de 5 millones de dólares al Proyecto Alpha-Omega.
La seguridad de la cadena de suministro de software se ha vuelto esencial. Un problema de seguridad importante tras otro, incluido el ataque a la cadena de suministro de software de SolarWinds, la vulnerabilidad de Log4j y el episodio de inyección de código incorrecto de npm, se puede rastrear hasta las vulnerabilidades de la cadena de suministro de software.
Los piratas informáticos y los adversarios nacionales han hecho de los proyectos de código abierto ampliamente implementados sus principales objetivos. En estos días, cuando se revela una nueva vulnerabilidad, es solo cuestión de horas hasta que se explota. Por ejemplo, los problemas de la biblioteca Log4j ampliamente implementados obligaron a muchas organizaciones a entrar en modo de crisis mientras se apresuraban a actualizar las aplicaciones antes de que pudieran ser atacadas.
Una parte separada del problema, como señala Jack Aboutboul, vicepresidente de productos de la empresa de seguridad de la cadena de software, CodeNotary, es pagar a los desarrolladores y mantenedores por este trabajo. Él pregunta: «¿Escuchaste sobre la corporación Fortune 500 que envió un correo electrónico a un mantenedor de código abierto a «Respuestas a la demanda» sobre su paquete de software, que nunca pagaron y que ahora se han dado cuenta de que se usa en su software. Lo hicimos. Y no pensamos que fuera divertido. Esta historia muestra lo que quizás sea lo más obvio. la verdad sobre cómo se puede asegurar la cadena de suministro de software: pagando a los mantenedores Cualquier proyecto o iniciativa, como el lanzado por OpenSSF, nunca estará completo y nunca se actualizará por completo a menos que se destinen fondos para pagar a los mantenedores del software Omega. , el resultado será simplemente identificar más agujeros en el código de un mantenedor que hará que trabajen más horas, no menos, por la misma compensación inexistente».
El Proyecto Alpha-Omega tiene como objetivo omitir todo esto encontrando vulnerabilidades de código fuente abierto y corrigiéndolas antes de que puedan ser atacadas. Les deseo suerte.
El Alfa…
Alpha trabajará con los mantenedores de proyectos de código abierto más críticos. Específicamente, Alpha cubrirá tanto los proyectos independientes como los servicios ecosistémicos centrales seleccionados en base al trabajo del grupo de trabajo OpenSSF Asegurando Proyectos Críticos. Para hacer esto, Alpha utilizará tanto opiniones de expertos como datos. Esto incluirá datos de proyectos de seguridad de código abierto, como OpenSSF Criticality Score y el análisis del «Censo» de Harvard.
Para estos proyectos seleccionados, los miembros del equipo Alpha brindarán ayuda personalizada para comprender y abordar las brechas de seguridad. Esto incluirá el modelado de amenazas, pruebas de seguridad automatizadas, auditorías de código fuente y soporte para remediar las vulnerabilidades que se descubran. Sus mejores prácticas se extraerán en parte de los criterios OpenSSF Scorecard y Best Practices Badge.
…y el Omega
El lado Omega del proyecto comenzará identificando al menos 10,000 programas de código abierto ampliamente implementados. Una vez hecho esto, el equipo del proyecto aplicará el análisis de seguridad automatizado y la puntuación al código de los programas. Finalmente, el equipo de Omega hará un seguimiento brindando orientación de remediación a las comunidades de mantenimiento.
Esto no es nada fácil. Omega hará esto con métodos y herramientas automatizados para identificar vulnerabilidades críticas de seguridad. Para que esto suceda, sus desarrolladores utilizarán una combinación de tecnología, personas de análisis a escala de la nube, analistas de seguridad que clasifican los hallazgos; y proceso, reportando de manera confidencial vulnerabilidades críticas a los actores de los programas. Para que esto suceda, Omega utilizará un equipo dedicado de ingenieros de software. Trabajarán continuamente para reducir las tasas de falsos positivos e identificar nuevas vulnerabilidades.
Incluso con su propio equipo de seguridad, como señaló Eric Brewer, vicepresidente de infraestructura y miembro de Google, «la larga cola de software de código abierto importante, el ‘Omega’ de este esfuerzo, es siempre la parte más difícil: requerirá no solo considerable financiación y perseverancia, pero su escala también impulsará una amplia automatización para rastrear e idealmente corregir vulnerabilidades. Habilitar la automatización será una de las mayores mejoras para la seguridad de código abierto».
«El software de código abierto es un componente vital de la infraestructura crítica para la sociedad moderna. Por lo tanto, debemos tomar todas las medidas necesarias para mantenerlo seguro y nuestras cadenas de suministro de software», dijo Brian Behlendorf, Gerente General de OpenSSF. «Alpha-Omega respalda este esfuerzo de manera abierta y transparente al mejorar directamente la seguridad de los proyectos de código abierto a través de la búsqueda, reparación y prevención proactivas de vulnerabilidades».
Si todo va bien, Mark Russinovich, CTO de Microsoft Azure, dijo: «Alpha-Omega brindará seguridad y transparencia a los proyectos clave de código abierto a través del compromiso directo con los mantenedores y mediante el uso de herramientas de seguridad de última generación para detectar y solucionar problemas críticos». vulnerabilidades Esperamos colaborar con socios de la industria y la comunidad de código abierto en esta importante iniciativa «.
quedan preguntas
¿Pero es esto suficiente? Aboutboul no lo cree así. Técnicamente, a Aboutboul le preocupa que ni la tecnología de almacenamiento de firmas de Alpha-Omega (particularmente cosign y Rekor) ni sus recursos financieros y de personal estén a la altura. «Primero, cosign se basa en certificados y claves: tecnologías antiguas. ¿Qué sucede si firma miles de millones de artefactos con un certificado y luego ese certificado ahora está comprometido? ¿Volverá y revocará la confianza de todos sus activos? Además, ¿qué pasa si la raíz de la confianza real se ve comprometida de alguna manera? Preguntas serias para hacer y responder».
A Aboutboul también le preocupa que Rekor, que pretende ser el libro de contabilidad inmutable y resistente a manipulaciones del proyecto y funciona como un registro de transparencia de metadatos sobre artefactos en una cadena de suministro, no sea lo suficientemente bueno. Esto se debe a que «Rekor utiliza Trillian de Google para su estructura de datos subyacente de solo agregar y requiere MySQL o MariaDB y Redis debajo. En última instancia, esto deja espacio para la vulnerabilidad. Hay demasiadas piezas en juego aquí, y cuantas más piezas significan más piezas que necesita». necesita confiar, o en realidad no debería necesitar confiar».
Finalmente, en el aspecto técnico de las cosas, Aboutboul señala que Rekor sale directamente y dice: «‘IMPORTANTE: esta instancia se opera actualmente con el mejor esfuerzo posible. Cerraremos el registro y lo restableceremos sin previo aviso. Lo haremos mejorar la estabilidad y publicar SLO con el tiempo.’ ¡Ay!»
Aboutboul se ocupa de estos problemas confiando en su base de datos inmutable de código abierto, immudb. ¿Por qué? CodeNotary come su propia comida para perros porque «immudb es en sí mismo una base de datos inmutable y no depende de ninguna pieza de infraestructura externa, no hay lugar para la duda, no hay lugar para el riesgo. Lo que entra en immudb se almacena en immudb, en un tamper -de manera comprobable y comprobable.”
Además de la tecnología, Aboutboul tiene otros dos problemas importantes que cree que deben abordarse. Primero, «Si bien $5 millones suena como mucho dinero (y lo es), parece una suma insignificante para llevar a cabo esta misión. La profundidad de la penetración del código abierto en la cadena de suministro de software global es abrumadora. Cuando comienza a eche un vistazo a sus posibles proyectos Alpha, digamos, el Kernel de Linux, etc. El esfuerzo solo allí puede potencialmente utilizar casi todo eso. ¿Cómo llega a todos sus proyectos Omega entonces?
Dicho esto, Aboutboul está de acuerdo en que Alpha-Omega es un gran paso adelante. Pero, Aboutboul hace varios puntos excelentes. Al final, el elefante en la habitación es dinero para desarrolladores y mantenedores. Nos guste o no, debemos hacer que pagar por la seguridad de código abierto sea una prioridad.
Historias relacionadas: