Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
MaisonLa sécurité open source a riposté en 2022
Par Matt Asay
Contributeur, InfoWorld |
Début décembre marquait le premier anniversaire de l’effondrement de la sécurité de Log4j. Depuis, le monde du logiciel s’est lancé dans un sprint mort pour s’assurer que cela ne se reproduise plus. Nous constatons enfin une certaine dynamique à mesure que les maillons manquants dans la sécurité de la chaîne d'approvisionnement logicielle commencent à être comblés.
Log4j a été un événement paralysant pour de nombreuses organisations qui avaient du mal à comprendre si et où elles exécutaient le populaire utilitaire de journalisation open source dans leurs environnements. Mais Log4j a également forcé l'industrie à prendre conscience de la nature transitive des exploits de la chaîne d'approvisionnement logicielle et de la facilité avec laquelle les exploits peuvent passer d'une dépendance logicielle à l'autre. Ce n’était pas une façon amusante pour les équipes de sécurité de terminer 2021.
Les fournisseurs de sécurité ne se sont pas non plus couverts de gloire. Au départ, nous avons vu une vague de spécialistes du marketing de logiciels de sécurité opportunistes se précipiter pour positionner leurs produits comme des solutions directes. Mais selon Dan Lorenc, PDG et fondateur de Chainguard, une start-up de sécurité de la chaîne d'approvisionnement logicielle, « la plupart des scanners utilisent des bases de données de packages pour voir quels packages sont installés à l'intérieur des conteneurs. Les logiciels installés en dehors de ces systèmes ne sont pas facilement identifiables, ce qui les rend invisibles aux scanners.
En d’autres termes, les fournisseurs de sécurité vendaient des pensées et des prières, et non de véritables solutions.
Tout le monde n’a pas été aussi creux dans sa réponse. Ce défi de sécurité de la chaîne d’approvisionnement logicielle est très spécifiquement lié à l’open source. La réalité est que les applications modernes sont principalement construites avec des frameworks open source dont l’origine en matière de sécurité est quelque peu inconnue. Vous ne pouvez tout simplement pas disposer d'une solution d'entreprise qui sécurise l'intégralité de l'open source : cela ne fonctionne pas dans cette direction. Il semblerait que la réponse doive venir de la communauté open source elle-même. En 2022, c’est le cas.
Il y a eu une quantité incroyable d’activités autour de la sécurité de la chaîne d’approvisionnement logicielle, et des tonnes d’exemples de la communauté open source encerclant les wagons en 2022.
Certaines d'entre elles sont des signaux publics bienvenus mais largement vides de la part des responsables, comme le décret de la Maison Blanche visant à sécuriser la chaîne d'approvisionnement en logiciels et la Loi sur la sécurisation des logiciels open source du Sénat américain de 2022. C'est bien, mais la sécurité des logiciels n'est pas une question de proclamations publiques. . Heureusement, ce qui s'est réellement passé l'année dernière, c'est une grande agitation pour doter les développeurs des chaînes d'outils nécessaires pour assurer la sécurité de la chaîne d'approvisionnement plus loin dans le cycle de vie du développement logiciel.
Sans surprise, la Linux Foundation et la Cloud Native Computing Foundation ont été fortement impliquées pour que cela se réalise dans des projets open source clés. Par exemple, le format SPDX SBOM a fait son chemin sur des plateformes majeures comme Kubernetes. L'Open Source Security Foundation compte plus de 100 membres et plusieurs millions de dollars de financement pour davantage de normes et d'outils. Les langages sécurisés en mémoire comme Rust sont pris en charge par le noyau Linux pour éviter toute une classe de vulnérabilités liées aux artefacts logiciels.
La technologie individuelle la plus notable qui a connu un véritable essor au cours de l'année écoulée est peut-être Sigstore, l'outil de signature de code né chez Google et Red Hat et devenu de facto le « sceau de cire » désormais intégré dans les registres de logiciels open source et chaînes d'outils. Kubernetes, npm et PyPi font partie des plateformes et registres qui ont adopté Sigstore comme norme de signature. Il est important de noter que toutes ces signatures Sigstore sont enregistrées dans un journal de transparence public, ce qui constitue un nouveau battement de cœur important pour l'écosystème de sécurité afin de commencer à relier les points entre la signature de logiciels, les nomenclatures logicielles (SBOM) et l'ensemble de la chaîne d'outils de provenance de la sécurité de la chaîne d'approvisionnement logicielle. .
Quiconque s'intéresse à l'open source depuis 20 ans, voire les deux dernières années, ne sera pas surpris de voir des intérêts commerciaux commencer à fleurir autour de ces technologies open source populaires. Comme c’est devenu la norme, ce succès commercial s’écrit généralement en nuage. Voici un exemple frappant : le 8 décembre 2022, Chainguard, la société dont les fondateurs ont cocréé Sigstore alors qu'ils travaillaient chez Google, a publié Chainguard Enforce Signing, qui permet aux clients d'utiliser Sigstore-as-a-service pour générer des signatures numériques pour les artefacts logiciels dans leur propre système. organisation en utilisant leurs identités individuelles et leurs clés à usage unique.