Die Sicherheit dieser Softwarelieferkette braucht ein umfassenderes Skizze

Dies komplizierte Labyrinth von Open-Source-Abhängigkeiten in dieser globalen Software-Versorgungskette hat ein Anwendungssicherheits-Puzzle von gigantischen Ausmaßen geschaffen. Ob Open Source oder Closed, die meiste Software dieser Welt basiert heute uff Komponenten und Bibliotheken von Drittanbietern. Folglich kann ein einziger verwundbarer Quellcode selbst in den kleinsten Open-Source-Projekten zusammensetzen Dominoeffekt nach sich ziehen, dieser sich uff Tausende anderer Anwendungen, APIs, Cloud-Infrastrukturkomponenten und mehr auswirkt.

Dieses Problem wird heute zu einem dieser dringendsten Sicherheitsanliegen von CISOs, und uff dieser Lage einzelner Unternehmen funktionieren Organisationen streng daran, es mit Projekten wie dem Gerüst von Software-Stücklisten (SBOMs), dieser Mechanismus von Open-Source-Sicherheitsmanagementstandards und Erstellen technischer Leitplanken z. Hd. Entwickler, um ihnen zu nachstellen.

Nunmehr solche Bemühungen losmachen dasjenige Problem nicht unbedingt uff einer tendenziell systemischen Lage. Laut vielen Experten in dieser Open-Source-Netzwerk muss mehr Kapitalaufwand betrieben werden, um Open-Source-Projektbetreuern unter dieser Fehlerbehebung ihres Codes zu helfen, um die größte Delle in dieser nachgelagerten Versorgungskette zu vererben.

Dies ist dasjenige Ziel des Alpha-Omega-Projekts. Alpha-Omega, dasjenige nächsten Monat sein einjähriges jubilieren wird, ist ein umfassendes Sicherheitsprojekt, dasjenige von dieser Open Source Security Foundation (OpenSSF) und ihrer Mutterorganisation, dieser Linux Foundation, zusammengestellt wurde, um die grundlegenden Probleme in dieser Sicherheit dieser Softwarelieferkette anzugehen.

Die Alpha Seite des Projekts konzentriert sich uff die Zusammenarbeit mit den Betreuern dieser Open-Source-Projekte, die z. Hd. die breitere Versorgungskette am wichtigsten sind – einschließlich namhafter Unternehmen wie node und jQquery –, um ihnen zu helfen, die Sicherheitslage ihres Codes zu verbessern. Dies sind Projekte, die von dieser OpenSSF Securing Critical Projects-Arbeitsgruppe unter Verwendung von Expertenmeinungen und Statistik aus Benchmarks wie dem Open SSF Criticality Score von Hand geerntet wurden, um die Projekte mit den größten nachgelagerten Auswirkungen zu forcieren.

Die Omega Seite des Projekts wendet sich dem Long-Tail dieser Software-Supply-Chain-Sicherheit zu und verwendet Automatisierung und Tools, um kritische Sicherheitslücken in einer Warteschlange von 10.000 weit verbreiteten Open-Source-Projekten zu identifizieren. Es ist ein Versuch, die Beseitigung dieser am tiefsten hängenden, offensichtlichsten Mängel, die in dieser gesamten Versorgungskette überall verbreitet sind, auszuweiten.

Ursprünglich von Google und Microsoft finanziert, mit zusätzlicher Toolchain und personeller Unterstützung durch den Finanzriesen Citi, schloss Alpha-Omega dasjenige Jahr 2022 ab, während es weitere 2,5 Mio. US-Dollar von AWS erbeutete. Noch wichtiger ist, dass sich dasjenige Projekt mit zwei wichtigen Neueinstellungen uff 2023 vorbereitet – Yesenia Yser, früher Produktsicherheitsingenieurin unter Red Hat, und Jonathan Leitschuh, dieser ohne Rest durch zwei teilbar seine einjährige Tätigkeit qua erster Dan Kaminsky Fellow for Philanthropisch Security beendet hat. Yser tritt qua Senior Software Security Engineer ein und Leitschuh wird seine Wissenschaft zur Automatisierung von Open-Source-Sicherheitsforschung und -behebung qua Senior Software Security Researcher fortsetzen.

Dies erste Jahr des Alpha-Omega-Projekts

Dieses Projekt ist eines von mehreren hochkarätigen Sicherheitsprojekten, die im vergangenen Jahr von OpenSSF und dieser Linux Foundation geleitet und finanziert wurden, um die systemischen Probleme dieser Open-Source-Sicherheit anzugehen. Alpha-Omega folgt dem erfolgreichen Muster dieser Organisationen z. Hd. schnelle Finanzierung und schnelles Handeln unter Sicherheitsprojekten und hat schon an einer Warteschlange bedeutender Fronten Fortschritte gemacht.

Laut dem ersten Jahresbericht des Projekts hat sich dasjenige Projekt schon mit fünf verschiedenen Open-Source-Projekten beschäftigt: Node.js, dieser Eclipse Foundation, dieser Rust Foundation, jQuery und dieser Pythonschlange Software Foundation. Im Laufe des Jahres 2022 verteilte Alpha-Omega Zuschüsse in Höhe von 1,5 Mio. US-Dollar an verschiedene Projekte, darunter 460.000 US-Dollar an die Rust Foundation, 400.000 US-Dollar an die Eclipse Foundation und 300.000 US-Dollar an Node. Im Kern von Node half solche Unterstützung hierbei, die Node Security Working Group zu reaktivieren und an einem Sicherheits- und Bedrohungsmodell z. Hd. Node.js zu funktionieren, und sie spornte die Sichtung von 20 verschiedenen Schwachstellenberichten weiterführend die Codebasis des Projekts an.

Darüber hinaus hat Alpha-Omega kürzlich die erste Version dieser Omega Analysis Toolchain veröffentlicht, die 27 verschiedene Sicherheitsanalysatoren zur Identifizierung kritischer Schwachstellen in Open-Source-Paketen orchestriert. Dies Projekt veröffentlichte nebensächlich eine Warteschlange von experimentellen Tools, darunter ein Triage-Tunnelportal, um die Sicherheitsforschung und -berichterstattung effizienter zu gestalten.

Zu Gunsten von dasjenige zweite Jahr plant dasjenige Projekt, die Funktionieren an dieser Omega-Seite des Hauses zu beschleunigen.

Welches 2023 z. Hd. dasjenige Projekt bereithält

Die Hinzufügung von Yser und Leitschuh zum Alpha-Omega-Projekt wird nicht nur mehr Intelligenz, Zeit und Talent in bestehende Bemühungen Einfluss besitzen lassen, sondern nebensächlich viel Enthusiasmus, um die Nadel in Sachen Open-Source-Sicherheit zu in Bewegung setzen.

„Open-Source-Software steckt in jedem Gerät, dasjenige heute verwendet wird, von unseren Automobilen, Flugzeugen, Telefonen, Trackern und sogar Versorgungssystemen“, sagt Yser, dieser tief in dieser Welt von DevSecOps und Software-Lieferketten verwurzelt ist. In ihrer Status unter Red Hat war sie die technische Leiterin dieser Supply Chain Ops. “Die Vision z. Hd. dasjenige Projekt hat eine globale Verwicklung uff die Verbesserung dieser Sicherheitslage von Open-Source-Software, dieser Sicherheit dieser Versorgungskette und des Lebens von Menschen uff dieser ganzen Welt.”

Sie wird gradlinig an dieser Verbesserung dieser Omega-Toolchain und des Triage-Portals funktionieren, um hierbei zu helfen, Verbesserungen unter dieser Schlussfolgerung und Priorisierung von Projekten und Schwachstellenauswirkungen zur Minderung zu prosperieren.

„Zu Gunsten von die Omega-Toolkette wird es ein Ziel z. Hd. diesjährig sein, ein operationalisiertes System zu nach sich ziehen, dasjenige ein Betreuer oder Entwickler nutzen kann“, sagt sie. „Dies Ziel des Triage-Portals besteht darin, die Fähigkeit eines Forschers zu unterstützen, zusammensetzen entdeckten Ergebnis zu triagieren, während er zusammensetzen SARIF-Meldung in dasjenige Tunnelportal importiert und seine Untersuchung intrinsisch des Systems abwickelt. Dies System bleibt uff dasjenige Alpha-Omega-Team engstirnig, solange bis irgendetwas anderes angegeben ist , zwar dank Open-Source-Software kann ein Forscher seine eigene Instanz zugange sein und Pull-Requests an dasjenige Repository senden und die Gesamtmission unterstützen.”

Sie wird innig mit Leitschuh zusammenarbeiten, dieser bedeutende und sehr frische Erfahrungen im Kategorie dieser Skalierung und Automatisierung von Fixes in Open-Source-Projekten einbringt. Er verbrachte dasjenige letztjährige Stipendium damit, genau an diesem Problem zu funktionieren. Sein Ziel ist es, die Arbeit, die er dort geleistet hat, fortzusetzen und dasjenige, welches er gelernt hat, zu nutzen, um seine Mission voranzubringen, die weitest… verbreiteten und wirkungsvollsten Fehler auszumerzen, die in einer Vielzahl von Open-Source-Projekten lauern.

„Wir wissen vielleicht nicht, wo solche kleinen Pflöcke sind, die die gesamte Softwareindustrie am Leben erhalten“, sagt er. „Es könnte eines dieser winzig kleinen Softwarestücke sein, die uff GitHub 15 Sterne nach sich ziehen, die niemand kennt, zwar dasjenige gesamte Netz aufhält. Wie sichern wir mithin solche Projekte, von denen niemand irgendetwas weiß, die zwar irgendwie grundlegend z. Hd. dasjenige Ganze sind? Versorgungskette?”

Er sagt, seine Arbeit während des Stipendiums habe ihm geholfen, sich in seiner Nische zurechtzufinden, nicht unbedingt sehr tief in eine Sicherheitslücke einzudringen, sondern stattdessen eine bestimmte Modus von Schwachstelle zu betrachten und automatisierte Wege zu prosperieren, um denselben Fehler an vielen verschiedenen Stellen zu finden im gesamten Open-Source-Natur. Dies passt perfekt zum Omega-Ethos, welches ihn zu seinem neuesten Live-Veranstaltung geführt hat.

Er wird weiterhin Verfeinerungen automatisierter Methoden zum Beheben von Fehlern in dieser Datenfluss- und Kontrollanalyse und dieser automatischen Pull-Request-Generierung unterstützen. Nunmehr er wird nebensächlich die sehr manuelle Arbeit dieser Zusammenarbeit fortsetzen. Eine dieser wichtigen Lektionen, die er vergangenes Jahr gelernt hat, ist, dass ein Majorität dieser Arbeit, die vor ihm und seinem Alpha-Omega-Team liegt, nicht unbedingt technischer Natur ist. Es geht drum, Beziehungen zu Betreuern aufzubauen, um ihnen zu zeigen, wie manchmal sogar einfache Korrekturen an ihren Projekten zusammensetzen enormen Macht uff die Sicherheitslage dieser globalen Softwarelieferkette nach sich ziehen können.

„Technologen und Software-Menschen, wir lieben dasjenige menschliche Element nicht immer – es ist einfacher z. Hd. uns, uns hinzusetzen und eine Codezeile zu schreiben, die dieses Gegenstand erkennt und weiterführend die Wand wirft, qua uns mit einer echten Person zu vereinnahmen und versuchen Sie, sie davon zu überzeugen, dass es eine Reparatur wert ist”, sagt er.

Er erklärt, wie ein Vorbild aus dem letzten Jahr diesen Zähler perfekt veranschaulicht. In diesem Kern arbeitete er mit einem Betreuer eines YAML-Parsers zusammen, dieser zusammensetzen sechs Jahre alten Fehler unter dieser Remotecodeausführung aufwies, dieser große nachgelagerte Auswirkungen hatte. Wie Leitschuh ihn darauf ansprach, sagte ihm dieser Betreuer Menorrhagie Zeit: „Vertraue nicht vertrauenswürdigem YAML. Dies ist nicht meine Schwachstelle.“

Nachdem er den Betreuer schließlich in einem Videoanruf mit vielen technischen Diskussionen zusammengebracht hatte, konnte Leitschuh ihm zeigen, dass die von ihm geforderte Entwicklung mega eingeengt war und große Auswirkungen nach sich ziehen könnte.

„Darum ist er jetzt griffbereit, solche sechs Jahre altes Weib Schwachstelle unter dieser Explikation von Remote-Quellcode in diesem YAML-Parser zu beheben, weil sich endlich Leckermäulchen wie ich zu einem Videoanruf mit ihm zusammengesetzt und ein Gespräch mit ihm geführt hat, um ihn von dieser minimalen Sache zu überzeugen, dass er tun zu tun sein, um es sicherer zu zeugen”, sagt er.

Während Leitschuh die Beseitigung dieser Schwachstelle nachgelagert hätte automatisieren können, war es die elegantere Problemlösung, stattdessen solche Diskussion zu resultieren.

„Selbst dachte, es lohnt sich z. Hd. mich, mich hinzusetzen und die Zeit damit zu zubringen, mich uff dieses eine Stück Software zu verdichten, um zu versuchen, diesen Maintainer zu überzeugen. Jene Gespräche zu resultieren, wird zusammensetzen breiteren positiven Macht uff die gesamte Industriebranche nach sich ziehen.“ er sagt. „Zu dieser Gelegenheit erfordern Sie nur noch Bodenhaftung. Sie erfordern Menschen, die wissen, wovon sie sprechen, um sich hinzusetzen und die Zeit zu zubringen, die erforderlich ist, um mit einer echten Person in Kontakt zu treten.“