Español
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
HogarLa seguridad de código abierto contraatacó en 2022
Por Matt Asay
Colaborador, InfoWorld |
A principios de diciembre se cumplió un año del colapso de la seguridad de Log4j. Desde entonces, el mundo del software ha estado a toda velocidad para garantizar que esto nunca vuelva a suceder. Finalmente estamos viendo algo de tracción a medida que los eslabones faltantes en la seguridad de la cadena de suministro de software comienzan a completarse.
Log4j fue un evento paralizante para muchas organizaciones que lucharon por comprender si estaban ejecutando la popular utilidad de registro de código abierto en sus entornos y dónde. Pero Log4j también obligó a la industria a comprender la naturaleza transitiva de los exploits de la cadena de suministro de software y lo fácil que es para los exploits atravesar dependencias de software. No fue una forma divertida para los equipos de seguridad de terminar 2021.
Los proveedores de seguridad tampoco se cubrieron de gloria. Inicialmente, vimos una oleada de vendedores oportunistas de software de seguridad que se apresuraron a posicionar sus productos como soluciones directas. Pero según Dan Lorenc, director ejecutivo y fundador de la startup de seguridad de la cadena de suministro de software Chainguard, “la mayoría de los escáneres utilizan bases de datos de paquetes para ver qué paquetes están instalados dentro de los contenedores. El software instalado fuera de estos sistemas no es fácilmente identificable, lo que los hace invisibles para los escáneres”.
En otras palabras, los proveedores de seguridad vendían pensamientos y oraciones, no soluciones reales.
No todos fueron tan vacíos en su respuesta. Este desafío de seguridad de la cadena de suministro de software está relacionado muy específicamente con el código abierto. La realidad es que las aplicaciones modernas se crean principalmente con marcos de código abierto de procedencia de seguridad algo desconocida. Simplemente no se puede tener una solución empresarial que proteja todo el código abierto; no funciona en esa dirección. La respuesta, al parecer, debe venir de la propia comunidad de código abierto. En 2022, así fue.
Ha habido una cantidad increíble de actividad en torno a la seguridad de la cadena de suministro de software y toneladas de ejemplos de la comunidad de código abierto dando vueltas en 2022.
Parte de esto es una señal pública bienvenida, pero en gran medida vacía, de los funcionarios, como la orden ejecutiva de la Casa Blanca para proteger la cadena de suministro de software y la Ley de Seguridad del Software de Código Abierto de 2022 del Senado de los EE. UU. Esto es bueno, pero la seguridad del software no se trata de proclamaciones públicas. . Afortunadamente, lo que realmente ha estado sucediendo el año pasado es un gran esfuerzo para dotar a los desarrolladores de las cadenas de herramientas necesarias para abordar la seguridad de la cadena de suministro en el extremo izquierdo del ciclo de vida del desarrollo de software.
No es sorprendente que la Fundación Linux y la Fundación Cloud Native Computing hayan estado muy involucradas para que esto suceda en proyectos clave de código abierto. Por ejemplo, el formato SPDX SBOM se ha abierto camino en plataformas importantes como Kubernetes. La Open Source Security Foundation tiene más de 100 miembros y muchos millones de dólares en financiación para más estándares y herramientas. Los lenguajes seguros para la memoria como Rust son compatibles con el kernel de Linux para protegerse de toda una clase de vulnerabilidades relacionadas con artefactos de software.
Posiblemente la tecnología individual más notable que ha estado en auge durante el año pasado es Sigstore, la herramienta de firma de código que nació en Google y Red Hat y se ha convertido en el "sello de cera" de facto ahora integrado en los registros y registros de software de código abierto. cadenas de herramientas. Kubernetes, npm y PyPi se encuentran entre las plataformas y registros que han adoptado Sigstore como estándar de firma. Es importante destacar que todas estas firmas de Sigstore se incluyen en un registro de transparencia público, lo cual es un nuevo impulso importante para que el ecosistema de seguridad comience a conectar los puntos entre la firma de software, las listas de materiales de software (SBOM) y toda la cadena de herramientas de procedencia de seguridad de la cadena de suministro de software. .
Cualquiera que haya prestado atención al código abierto durante los últimos 20 años (o incluso los dos últimos) no se sorprenderá al ver que empiezan a florecer intereses comerciales en torno a estas populares tecnologías de código abierto. Como ya es habitual, ese éxito comercial suele deletrearse nube. Aquí hay un ejemplo destacado: el 8 de diciembre de 2022, Chainguard, la empresa cuyos fundadores cocrearon Sigstore mientras estaban en Google, lanzó Chainguard Enforce Signing, que permite a los clientes utilizar Sigstore-as-a-service para generar firmas digitales para artefactos de software dentro de su propia cuenta. organización utilizando sus identidades individuales y claves de un solo uso.
Esta nueva capacidad ayuda a las organizaciones a garantizar la integridad de las imágenes de contenedores, las confirmaciones de código y otros artefactos con firmas privadas que pueden validarse en cualquier momento en el que sea necesario verificar un artefacto. También permite una línea divisoria donde los artefactos de software de código abierto se firman abiertamente en un registro público de transparencia; sin embargo, las empresas pueden firmar su propio software con el mismo flujo, pero con versiones privadas que no están en el registro público. El camino de Chainguard es similar al de GitHub: los desarrolladores pueden crear repositorios públicos ilimitados pero deben pagar por los repositorios privados del equipo.
Nadie sabe de qué desarrollos importantes en la seguridad de la cadena de suministro de software hablaremos en esta época el próximo año, pero hay muchas razones para creer que seguirá siendo una de las áreas de seguridad más interesantes y de más rápida evolución (y que la seguridad seguirá siendo una de las áreas más importantes del software). Se ha hecho mucho para mejorar la seguridad del software; queda mucho más.
El CEO de Chainguard y cocreador de Sigstore, Dan Lorenc, es el primero en admitir lo lejos que queda por llegar, particularmente en torno a los SBOM, donde hay mucho espacio en blanco entre la teoría y la realidad para los desarrolladores. Si los desarrolladores no tienen métodos sencillos para incorporar seguridad a los artefactos de software en las primeras etapas del ciclo de vida del desarrollo de software, bromea, el resultado son "listas de materiales conjeturas".
Lorenc señala la firma de software posible gracias a Sigstore y el surgimiento general de proyectos importantes impulsados por organismos de código abierto (tanto la industria como el gobierno). Lo ve como evidencia de que gran parte del poder para resolver este desafío de seguridad de la cadena de suministro de software se está poniendo donde corresponde: en manos de desarrolladores con las herramientas adecuadas.
A continuación lee esto:
Matt Asay dirige las relaciones con los desarrolladores en MongoDB. Las opiniones expresadas aquí son las de Matt y no reflejan las de su empleador.
Copyright © 2022 IDG Communications, Inc.
A continuación lee esto: