Агентство кибербезопасности и безопасности инфраструктуры США (CISA) объявило о партнерстве с Рабочей группой Фонда безопасности с открытым исходным кодом (OpenSSF) по обеспечению безопасности репозиториев программного обеспечения для публикации новой платформы для обеспечения безопасности репозиториев пакетов.
Названный Принципами безопасности репозитория пакетов, фреймворк направлен на установление набора основополагающих правил для менеджеров пакетов и дальнейшее укрепление экосистем программного обеспечения с открытым исходным кодом.
"Репозитории пакетов находятся на критической стадии в экосистеме с открытым исходным кодом, помогая предотвращать или смягчать такие атаки", - сказал OpenSSF.
"Даже простые действия, такие как наличие документированной политики восстановления учетной записи, могут привести к значительному улучшению безопасности. В то же время возможности должны быть сбалансированы с ограничениями ресурсов репозиториев пакетов, многие из которых находятся в ведении некоммерческих организаций ".
Примечательно, что принципы определяют четыре уровня зрелости безопасности для репозиториев пакетов в четырех категориях аутентификации, авторизации, общих возможностей и инструментов интерфейса командной строки (CLI) -
Конечная цель состоит в том, чтобы позволить репозиториям пакетов самостоятельно оценивать степень зрелости своей безопасности и формулировать план по усилению своих барьеров с течением времени в виде улучшений безопасности.
"Угрозы безопасности меняются со временем, как и возможности безопасности, которые устраняют эти угрозы", - сказали в OpenSSF. "Наша цель - помочь репозиториям пакетов быстрее предоставлять возможности безопасности, которые наилучшим образом способствуют укреплению безопасности их экосистем".
Разработка началась после того, как Координационный центр кибербезопасности сектора здравоохранения Министерства здравоохранения и социальных служб США (HC3) предупредил о рисках безопасности, возникающих в результате использования программного обеспечения с открытым исходным кодом для ведения записей пациентов, управления запасами, выписыванием рецептов и выставлением счетов.
"Хотя программное обеспечение с открытым исходным кодом является основой современной разработки программного обеспечения, оно также часто является самым слабым звеном в цепочке поставок программного обеспечения", - говорится в отчете об угрозах, опубликованном в декабре 2023 года.
Названный Принципами безопасности репозитория пакетов, фреймворк направлен на установление набора основополагающих правил для менеджеров пакетов и дальнейшее укрепление экосистем программного обеспечения с открытым исходным кодом.
"Репозитории пакетов находятся на критической стадии в экосистеме с открытым исходным кодом, помогая предотвращать или смягчать такие атаки", - сказал OpenSSF.
"Даже простые действия, такие как наличие документированной политики восстановления учетной записи, могут привести к значительному улучшению безопасности. В то же время возможности должны быть сбалансированы с ограничениями ресурсов репозиториев пакетов, многие из которых находятся в ведении некоммерческих организаций ".
Примечательно, что принципы определяют четыре уровня зрелости безопасности для репозиториев пакетов в четырех категориях аутентификации, авторизации, общих возможностей и инструментов интерфейса командной строки (CLI) -
- Уровень 0 - Очень низкий уровень безопасности.
- Уровень 1 - Наличие базового уровня безопасности, такого как многофакторная аутентификация (MFA), и позволяет исследователям безопасности сообщать об уязвимостях.
- Уровень 2 - обеспечение умеренной безопасности, которая включает в себя такие действия, как требование MFA для критических пакетов и предупреждение пользователей об известных уязвимостях в системе безопасности.
- Уровень 3 - повышенная безопасность, которая требует MFA для всех сопровождающих и поддерживает происхождение сборки для пакетов
Конечная цель состоит в том, чтобы позволить репозиториям пакетов самостоятельно оценивать степень зрелости своей безопасности и формулировать план по усилению своих барьеров с течением времени в виде улучшений безопасности.
"Угрозы безопасности меняются со временем, как и возможности безопасности, которые устраняют эти угрозы", - сказали в OpenSSF. "Наша цель - помочь репозиториям пакетов быстрее предоставлять возможности безопасности, которые наилучшим образом способствуют укреплению безопасности их экосистем".
Разработка началась после того, как Координационный центр кибербезопасности сектора здравоохранения Министерства здравоохранения и социальных служб США (HC3) предупредил о рисках безопасности, возникающих в результате использования программного обеспечения с открытым исходным кодом для ведения записей пациентов, управления запасами, выписыванием рецептов и выставлением счетов.
"Хотя программное обеспечение с открытым исходным кодом является основой современной разработки программного обеспечения, оно также часто является самым слабым звеном в цепочке поставок программного обеспечения", - говорится в отчете об угрозах, опубликованном в декабре 2023 года.
