Открытое ПО – крепость или мишень? CISA и OpenSSF знают ответ

Агентство кибербезопасности и инфраструктурной безопасности США ( CISA ) объявило о сотрудничестве с рабочей группой фонда безопасности открытого исходного кода ( OpenSSF ). Организации представили совместную платформу для обеспечения безопасности репозиториев пакетов.

Новый фреймворк, получивший название «Принципы безопасности репозиториев пакетов» (Principles for Package Repository Security), предлагает основные правила для управления пакетами и направлен на усиление защиты экосистемы открытого программного обеспечения.

OpenSSF подчёркивает критическую роль репозиториев пакетов в предотвращении и смягчении атак, указывая на то, что даже простые меры, такие как наличие документированной политики восстановления аккаунтов, могут существенно улучшить безопасность. В то же время необходимо учитывать ресурсные ограничения репозиториев, многие из которых управляются некоммерческими организациями.

Фреймворк определяет четыре уровня безопасности репозиториев в четырёх категориях: аутентификация, авторизация, общие возможности и инструментарий командной строки:

• уровень 0 соответствует минимальной безопасности;
• уровень 1 обеспечивает базовую безопасность, включая многофакторную аутентификацию ( MFA ) и возможность сообщения об уязвимостях;
• уровень 2 предусматривает умеренную безопасность, требующую MFA для критически важных пакетов и предупреждения пользователей об известных уязвимостях;
• уровень 3 означает продвинутый уровень безопасности, требующий MFA для всех сопровождающих операций и поддержку проверки происхождения сборок пакетов.

Авторы нового фреймворка, Джек Кейбл и Зак Стейндлер, отмечают , что все экосистемы управления пакетами должны стремиться как минимум к достижению уровня 1.

Основная цель заключается в том, чтобы репозитории пакетов могли самостоятельно оценить свой уровень безопасности и разработать план постепенного усиления защитных механизмов.

Разработка фреймворка происходит на фоне предупреждений Центра координации кибербезопасности сектора здравоохранения США ( HC3 ) о рисках безопасности, связанных с использованием открытого программного обеспечения для ведения медицинских записей, управления запасами, выписки рецептов и биллинга.

«Несмотря на то что открытое программное обеспечение служит основой современной разработки ПО, оно также часто является наиболее уязвимым звеном в цепочке поставок программного обеспечения», — говорится в отчёте HC3, опубликованном в декабре 2023 года.