VietNetwork.Vn

Các cuộc tấn công vào chuỗi cung ứng đang tăng vọt và các dự án mã nguồn mở là điểm xâm nhập phổ biến nhất. Quỹ Linux, do Google tài trợ, giúp các dự án nguồn mở bảo vệ chính họ — và mọi người khác.


1. Các cuộc tấn công chuỗi cung ứng

Cho đến gần đây, nếu bạn tham gia vào an ninh mạng và nhận thấy mình đang cố gắng giải thích các cuộc tấn công chuỗi cung ứng cho ai đó, bạn có thể đã sử dụng  cuộc tấn công Stuxnet  làm ví dụ. Bây giờ, bạn có bất kỳ ví dụ nào để lựa chọn.

Mọi người đều đã nghe nói về các  cuộc tấn công Solarwinds  và  Codecov  bởi vì chúng là những cuộc tấn công tinh vi, gây chú ý với phạm vi rộng lớn. Nhưng hai ví dụ này là một sự sụt giảm trong đại dương các cuộc tấn công kiểu này.

Các cuộc tấn công chuỗi cung ứng đầu độc bữa tiệc tự chọn. Bất cứ ai ăn trong bữa tiệc tự chọn đều tiêu thụ chất độc. Chủ nhà của bữa tiệc buffet không phải là mục tiêu. Mục tiêu là tất cả những người được mời đến bữa tiệc. Nếu những kẻ tấn công có thể xâm phạm bộ công cụ hoặc thư viện phần mềm được sử dụng trong nhiều ứng dụng và hệ thống khác, chúng đã tìm cách xâm nhập tất cả người dùng của các sản phẩm khác đó.

Các sản phẩm mã nguồn mở và mã nguồn đóng đều có rủi ro. Thậm chí đã có những trường hợp máy tính xách tay được sản xuất với hình ảnh ổ cứng được nhân bản từ hình ảnh vàng bị xâm phạm, chứa phần mềm độc hại ngay vào phần cứng.

Nhưng vì các dự án mã nguồn mở cung cấp cho mọi người quyền truy cập vào mã nguồn và khả năng gửi đóng góp cho dự án, chúng là một vectơ tấn công lý tưởng cho tội phạm mạng. Và việc nhắm mục tiêu nguồn mở trở nên hấp dẫn hơn bao giờ hết khi việc sử dụng các thành phần nguồn mở tiếp tục tăng. Hầu hết tất cả các dự án phát triển không tầm thường đều sử dụng tài sản nguồn mở. Cơ sở hạ tầng kỹ thuật số của thế giới hiện đại dựa trên nguồn mở.

Theo một báo cáo của  Sonatype , việc sử dụng mã nguồn mở vẫn đang tăng nhanh. Điều đó tuyệt vời cho mã nguồn mở. Điều không quá tuyệt vời là sự gia tăng đồng thời trong các cuộc tấn công chuỗi cung ứng sử dụng mã nguồn mở làm véc tơ tấn công. Các cuộc tấn công vào chuỗi cung ứng đã tăng 650% so với cùng kỳ năm ngoái, bao gồm cả  sự nhầm lẫn phụ thuộc,  lỗi đánh máy và chèn mã.

Trước đây, chúng tôi đã mô tả các bước bạn có thể thực hiện nội bộ để cố gắng  hạn chế khả năng tiếp xúc với các cuộc tấn công chuỗi cung ứng, sử dụng các tiện ích như preflight. Chúng tôi cũng đã báo cáo về các chương trình đang được triển khai ở cấp độ ngành, chẳng hạn như sáng kiến cửa hàng đại diện của Quỹ Linux  do Google, Red Hat và Đại học Purdue, IN cùng phát triển.

Chương  trình Nguồn mở An toàn  là một sáng kiến mới do Quỹ Linux điều hành với sự tài trợ 1 triệu đô la từ Nhóm Bảo mật Nguồn Mở của Google.

2. Phần thưởng nguồn mở an toàn

Chương trình thí điểm tập trung vào việc tăng cường bảo mật cho các dự án nguồn mở quan trọng. Định nghĩa về  sự quan trọng  là  định nghĩa của chính phủ Hoa Kỳ, được soạn thảo để bổ sung cho  Sắc lệnh Hành pháp 14028. Định nghĩa của họ xếp hạng phần mềm là quan trọng nếu một hoặc nhiều thành phần phần mềm của nó có bất kỳ thuộc tính nào sau đây:

• Nó được thiết kế để chạy với đặc quyền nâng cao hoặc quản lý các đặc quyền
• Nó có quyền truy cập trực tiếp hoặc đặc quyền vào mạng hoặc tài nguyên máy tính
• Nó được thiết kế để kiểm soát quyền truy cập vào dữ liệu hoặc công nghệ hoạt động
• Nó thực hiện một chức năng quan trọng để tin tưởng
• Nó hoạt động bên ngoài ranh giới tin cậy thông thường với quyền truy cập đặc quyền

Một yếu tố quan trọng khác là tác động tiềm tàng của vấn đề này đối với người tiêu dùng phần mềm. Ai sẽ bị ảnh hưởng, số lượng bao nhiêu và như thế nào? Nếu phần mềm được đề cập được kết hợp với các dự án mã nguồn mở khác, tác động của nó sẽ cao hơn nếu nó là một ứng dụng độc lập. Và một thành phần nhất định càng phổ biến, thì nó càng hấp dẫn đối với một cuộc tấn công vào chuỗi cung ứng.

Đó là lý do tại sao các tiêu chí này cũng sẽ được xem xét:

• Có bao nhiêu và loại người dùng nào sẽ bị ảnh hưởng bởi các cải tiến bảo mật?
• Liệu những cải tiến có tác động đáng kể đến cơ sở hạ tầng và bảo mật người dùng không?
• Nếu dự án bị xâm phạm, thì tác động của nó sẽ nghiêm trọng hoặc trên phạm vi rộng như thế nào?
• Dự án có nằm trong  Nghiên cứu điều tra dân số Harvard 2  về các gói được sử dụng nhiều nhất hay nó có Điểm quan trọng của OpenSSF  từ 0,6 trở lên không?

Nói chung, một dự án phần mềm có thể xin tài trợ để cho phép họ khắc phục sự cố bảo mật. Đơn đăng ký được xem xét và các chủ đề như mức độ quan trọng của dự án, biện pháp khắc phục hoặc cải tiến là gì và ai sẽ thực hiện công việc được xem xét. Các thành viên hội đồng đánh giá sẽ là nhân viên của Linux Foundation và Google Open Source Security Team.

Để được xem một cách thuận lợi, một đề xuất nên bao gồm các cải tiến từ danh sách này:

• Tăng cường chuỗi cung ứng, bao gồm các đường ống CI / CD và cơ sở hạ tầng phân phối phù hợp với  khuôn khổ Các cấp độ chuỗi cung ứng cho Phần mềm tạo tác  (SLSA).
• Áp dụng các kỹ thuật xác minh và ký giả phần mềm, chẳng hạn như các sigstorecông cụ.
• Cải tiến dự án dẫn đến kết quả Thẻ điểm OpenSSF cao hơn  . Thẻ điểm phát hiện và liệt kê các yếu tố phụ thuộc với các dự án nguồn mở.
• Sử dụng OpenSSF Allstar  để tăng cường kho lưu trữ GitHub.
• Kiếm được Huy hiệu Thực hành tốt nhất CII  bằng cách áp dụng các phương pháp làm việc tốt nhất trong ngành.

Phần thưởng được chia thành từng dải và phân bổ tùy theo mức độ phức tạp và giá trị của các cải tiến bảo mật và tác động tiềm tàng của một cuộc tấn công thành công đối với cộng đồng rộng lớn hơn.

• 10.000 đô la trở lên : Các cải tiến phức tạp, tác động cao và lâu dài, gần như chắc chắn ngăn chặn các lỗ hổng chính trong mã bị ảnh hưởng hoặc cơ sở hạ tầng hỗ trợ
• $ 5.000- $ 10.000 : Các cải tiến phức tạp vừa phải mang lại lợi ích bảo mật hấp dẫn
• $ 1,000- $ 5,000 : Các đệ trình có mức độ phức tạp và tác động khiêm tốn
• $ 505 : Những cải tiến nhỏ tuy nhiên có giá trị từ quan điểm bảo mật

Cơ chế báo cáo phải được thống nhất và tuân thủ. Những điều này sẽ theo dõi tiến trình của các bản sửa lỗi và xác minh rằng chúng đang thực sự diễn ra. Đây không chỉ là tiền miễn phí.

3. Tại sao điều này lại quan trọng

Báo cáo của Sonatype viết "... chúng tôi hy vọng rằng những kẻ tấn công sẽ tiếp tục nhắm mục tiêu vào các tài sản của chuỗi cung ứng phần mềm thượng nguồn như một con đường ưa thích để khai thác các nạn nhân ở hạ nguồn trên quy mô lớn."

Do việc sử dụng mã nguồn mở rộng rãi trong việc phát triển các sản phẩm mở và độc quyền, quy mô đó là rất lớn. Mã nguồn mở đã thâm nhập vào cấu trúc công nghệ của thế giới hiện đại của chúng ta ở một mức độ đáng kinh ngạc. Trên thực tế, kết cấu công nghệ đó hoàn toàn phụ thuộc vào mã nguồn mở.

Các sáng kiến thích sigstorevà Allstarđã được thiết kế để cung cấp trợ giúp cho toàn bộ phong trào mã nguồn mở. Các công cụ khác như preflightđược triển khai ở cấp độ người tiêu dùng. Sáng kiến mới này bổ sung cho cả hai cách tiếp cận và tấn công tận gốc vấn đề.

Nếu bạn cải thiện mã và cơ sở hạ tầng phát triển, đồng thời loại bỏ các lỗ hổng thì sẽ có ít khả năng bị khai thác hơn. Điều đó sẽ làm giảm số lượng các thỏa hiệp.

Giải thưởng Nguồn mở Bảo mật không phải là một phần thưởng lỗi. Đó là việc cung cấp các nguồn lực để giải quyết các vấn đề. Giải quyết các vấn đề trong mã, tăng cường các đường ống CI / CD và kho lưu trữ mã nguồn, và sử dụng sơ đồ xác minh và ký giả phần mềm sẽ biến đổi vị trí của mã nguồn mở.