مشغلي الرائدة برمجيات مفتوحة المصدر حددت مستودعات حزم OSS، بما في ذلك مؤسسة Python Software Foundation وRust Foundation، الإجراءات التي تتخذها للمساعدة في تأمين وحماية النظام البيئي للبرامج مفتوحة المصدر (OSS) بشكل أفضل، والتي تم التأكيد عليها من خلال سلسلة من عيوب OSS البارزة في خلال السنوات القليلة الماضية، وأبرزها Log4Shell.
كان OSS موضوع قمة أمنية استمرت يومين عقدته مديرة وكالة الأمن السيبراني وأمن البنية التحتية (CISA) جين إيسترلي في الولايات المتحدة هذا الأسبوع، والذي جمع بين مؤسسات برمجيات المصدر المفتوح ومستودعات الحزم وممثلين من صناعة تكنولوجيا المعلومات الأوسع والوكالات الحكومية الأمريكية ومنظمات المجتمع المدني، لاستكشاف أساليب جديدة لتعزيز أمن برمجيات المصدر المفتوح، وإجراء تدريبات مناورة على الاستجابة لضعف برمجيات المصدر المفتوح.
وقال إيسترلي: “تعد البرمجيات مفتوحة المصدر أساسًا للبنية التحتية الحيوية التي يعتمد عليها الأمريكيون كل يوم”. “باعتبارنا المنسق الوطني لأمن البنية التحتية الحيوية ومرونتها، نحن فخورون بالإعلان عن هذه الجهود للمساعدة في تأمين النظام البيئي مفتوح المصدر في شراكة وثيقة مع مجتمع المصادر المفتوحة، ونحن متحمسون للعمل القادم.”
وأضافت أنجانا راجان، مساعدة مدير الإنترنت الوطني لأمن التكنولوجيا: “تعد البرمجيات مفتوحة المصدر أساسًا بالغ الأهمية للفضاء السيبراني”. “إن ضمان أن لدينا نظامًا بيئيًا آمنًا ومرنًا للبرمجيات مفتوحة المصدر هو ضرورة أمنية وطنية، وعامل تمكين للابتكار التكنولوجي، وتجسيد لقيمنا الديمقراطية. كرئيس لمبادرة أمن البرمجيات مفتوحة المصدر [OS3I]، يلتزم ONCD بضمان بقاء هذا أولوية لإدارة بايدن هاريس ويثني على قيادة CISA في عقد هذا المنتدى المهم.
وفي أعقاب المؤتمر، التزمت CISA أيضًا بالعمل بشكل وثيق مع مستودعات الحزم لدفع عملية تبني الحزم التي تم إطلاقها مؤخرًا مبادئ أمن مستودع الحزم، تم تطويره بالاشتراك مع مؤسسة الأمن مفتوح المصدر (OpenSSF’s) مجموعة عمل تأمين مستودعات البرامج، وأطلقت جهدًا جديدًا لتمكين التعاون الطوعي وتبادل البيانات الإلكترونية مع مشغلي البنية التحتية لبرمجيات المصدر المفتوح لحماية سلسلة التوريد.
تتضمن بعض المبادرات التي تقدمها مستودعات حزم OSS ما يلي:
- ال مؤسسة الصدأ يعمل حاليا على جلب البنية التحتية للمفتاح العام (PKI) ل الصناديق.io مستودع للنسخ المتطابق والتوقيع الثنائي. كما نشرت أيضًا نموذج تهديد أكثر تفصيلاً لـ Crates.io وقدمته أدوات جديدة لتحديد النشاط الضار.
- ال مؤسسة برمجيات بايثون حاليًا على متن المزيد من مقدمي الخدمات بايبي لتمكين النشر الموثوق به وبدون بيانات الاعتماد وتوسيع الدعم من جيثب لكي يتضمن جيتلابوجوجل كلاود و حالة نشطة. ويجري أيضًا العمل على توفير واجهة برمجة التطبيقات (API) وأدوات أخرى للإبلاغ عن البرامج الضارة والتخفيف منها، بهدف زيادة قدرة PyPI على الاستجابة للمشكلة بسرعة وفعالية. بالإضافة إلى ذلك، يقوم النظام البيئي بوضع اللمسات الأخيرة على دعم الفهرس للشهادات الرقمية، PEP 740، والذي سيمكن من تحميل الشهادات الموقعة رقميًا وبيانات تعريف التحقق الخاصة بها إلى مستودعات حزم Python.
- التعبئة والتغليف و ملحن تم مؤخرًا إجراء فحص لقاعدة بيانات الثغرات الأمنية واتخاذ المزيد من التدابير لمنع المهاجمين من الاستيلاء على الحزم دون تصريح، وسيتم القيام بالمزيد من العمل بما يتماشى مع مبادئ إطار عمل أمان مستودع الحزم، وإجراء تدقيق متعمق لقواعد التعليمات البرمجية الحالية، في وقت لاحق من عام 2024.
- Npm، والتي تتطلب بالفعل من أولئك الذين يحتفظون بمشروعات عالية التأثير التسجيل في المصادقة متعددة العوامل (MFA)، قدمت مؤخرًا أدوات تتيح لهم إنشاء مصدر الحزمة و فواتير المواد البرمجيات لتعزيز قدرة المستخدمين على تتبع مصدر تبعياتهم والتحقق منها.
- سوناتيب مافين سنترال منذ عام 2021، يقوم تلقائيًا بفحص المستودعات المرحلية بحثًا عن نقاط الضعف وتقديم التقارير إلى مطوريها. من الآن فصاعدا، سيتم إطلاق بوابة نشر مع تعزيز أمان المستودع، بما في ذلك دعم MFA. وتشمل المبادرات المستقبلية الأخرى تنفيذ Sigstore وتقييم النشر الموثوق والتحكم في الوصول إلى مساحات الأسماء.
الحفاظ على رمز آمن
مايك ماكغواير، مدير حلول البرمجيات الأول في مجموعة سلامة البرمجيات سينوبسيسقال: “إن الجهود التي يبذلها مجتمع المصادر المفتوحة، بالتنسيق مع CISA كجزء من هذه المبادرة، تشير إلى حقيقة أوسع، وهي أن القائمين على المشروعات مفتوحة المصدر والمشرفين يقومون عمومًا بعمل فعال في الحفاظ على أمان التعليمات البرمجية الخاصة بهم، حتى حتى الآن وبجودة مقبولة.
وقال: “ليس هناك شك في أن الجهات الفاعلة في مجال التهديد تستغل الثقة المتأصلة التي لدينا في المصادر المفتوحة، لذا يجب أن تقطع هذه الجهود شوطًا طويلاً في منع هجمات سلسلة التوريد من البدء على مستوى تطوير المشاريع مفتوحة المصدر”. .
وقال ماكغواير: “ومع ذلك، بغض النظر عما يتم فعله بسبب هذه التمارين، فلن يصبح أي تطبيق تجاري أكثر أمانًا إذا لم تستثمر منظمات التطوير المزيد في إدارة المصدر المفتوح الذي تستفيد منه”.
“متى أكثر من 70% من التطبيقات التجارية تعاني من ثغرة أمنية مفتوحة المصدر عالية المخاطر“، ويبلغ متوسط عمر جميع الثغرات الأمنية 2.8 عامًا، فمن الواضح أن القلق الأكبر ليس مع مجتمع المصادر المفتوحة، ولكن مع فشل المؤسسات في مواكبة أعمال التصحيح الأمني المتنوعة التي يقوم بها المجتمع،” هو قال.
