Новости Открытое ПО – крепость или мишень? CISA и OpenSSF знают ответ

NewsMaker

I'm just a script
Премиум
8,037
16
8 Ноя 2022
Новые требования задают единые стандарты безопасности репозиториев.


k02feivu1lxnbv9ld7eaaqvutcc762yq.jpg


Агентство кибербезопасности и инфраструктурной безопасности США ( CISA ) Для просмотра ссылки Войди или Зарегистрируйся о сотрудничестве с рабочей группой фонда безопасности открытого исходного кода ( OpenSSF ). Организации Для просмотра ссылки Войди или Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся совместную платформу для обеспечения безопасности репозиториев пакетов.

Новый фреймворк, получивший название «Принципы безопасности репозиториев пакетов» (Principles for Package Repository Security), предлагает основные правила для управления пакетами и направлен на усиление защиты экосистемы открытого программного обеспечения.

OpenSSF подчёркивает критическую роль репозиториев пакетов в предотвращении и смягчении атак, указывая на то, что даже простые меры, такие как наличие документированной политики восстановления аккаунтов, могут существенно улучшить безопасность. В то же время необходимо учитывать ресурсные ограничения репозиториев, многие из которых управляются некоммерческими организациями.

Фреймворк определяет четыре уровня безопасности репозиториев в четырёх категориях: аутентификация, авторизация, общие возможности и инструментарий командной строки:

  • уровень 0 соответствует минимальной безопасности;
  • уровень 1 обеспечивает базовую безопасность, включая многофакторную аутентификацию ( MFA ) и возможность сообщения об уязвимостях;
  • уровень 2 предусматривает умеренную безопасность, требующую MFA для критически важных пакетов и предупреждения пользователей об известных уязвимостях;
  • уровень 3 означает продвинутый уровень безопасности, требующий MFA для всех сопровождающих операций и поддержку проверки происхождения сборок пакетов.
Авторы нового фреймворка, Джек Кейбл и Зак Стейндлер, Для просмотра ссылки Войди или Зарегистрируйся , что все экосистемы управления пакетами должны стремиться как минимум к достижению уровня 1.

Основная цель заключается в том, чтобы репозитории пакетов могли самостоятельно оценить свой уровень безопасности и разработать план постепенного усиления защитных механизмов.

Разработка фреймворка происходит на фоне предупреждений Центра координации кибербезопасности сектора здравоохранения США ( HC3 ) о рисках безопасности, связанных с использованием открытого программного обеспечения для ведения медицинских записей, управления запасами, выписки рецептов и биллинга.

«Несмотря на то что открытое программное обеспечение служит основой современной разработки ПО, оно также часто является наиболее уязвимым звеном в цепочке поставок программного обеспечения», — говорится в отчёте HC3, Для просмотра ссылки Войди или Зарегистрируйся в декабре 2023 года.
 
Источник новости
www.securitylab.ru

Похожие темы