En una conferencia de dos días celebrada la semana pasada en las Naciones Unidas en Nueva York, expertos en tecnología y formuladores de políticas internacionales describieron los beneficios que el software de código abierto (OSS) puede aportar al mundo, incluso en términos de entrega de tecnologías asequibles a países desatendidos de África. y más allá. Pero para aprovechar al máximo la promesa del OSS, la seguridad debe ir de la mano con el desarrollo de aplicaciones.
Philip Thigo, envoyé spécial du gouvernement kenyan pour la technologie, a souligné que dans un monde où l’exclusion de la prospérité est la norme, l’OSS offre un moyen à davantage de personnes de participer aux activités de codage et au développement d’ aplicaciones. Señaló que GitHub, por ejemplo, tiene más de 300.000 desarrolladores de Kenia y más de un millón de Nigeria.
“En la era de los Objetivos de Desarrollo Sostenible, donde debemos poner fin a la pobreza extrema pero tampoco dejar a nadie atrás… el código abierto se vuelve casi intrínseco o integral a todo lo que hacemos”. les dijo a los participantes En Conferencia de las Naciones Unidas sobre código abierto para buenos responsables de programas 2024 el 9 de julio.
Para lograr estos objetivos, cada nación también debe centrarse en la seguridad de los ecosistemas, dice Omkhar Arasaratnam, director ejecutivo de la Open Source Security Foundation (OpenSSF), quien habló en la conferencia. lectura oscura.
“Creemos que es fantástico que el código abierto pueda ayudar en todas estas áreas y crear una comunidad, pero, por supuesto, el requisito previo es que sea seguro”, afirma. “Lo último que queremos es que una parte de la mayoría mundial se enfrente, por ejemplo, a problemas de seguridad alimentaria y ciberseguridad debido a un software inseguro. »
Sub-recursos: Advertencias sobre los peligros del código abierto
Las empresas que desean proteger los componentes de código abierto utilizados en sus esfuerzos de desarrollo de aplicaciones (el “lado de la demanda”, como lo expresa Arasaratnam) tienen muchas herramientas y servicios a su disposición. Pero con demasiada frecuencia, los mantenedores de código abierto y los contribuyentes a proyectos, incluso en África, carecen de financiación y recursos para la seguridad. De hecho, muchos de ellos son voluntarios en los proyectos o son la única persona del equipo.
“La demanda es la parte fácil, es la oferta en la que debemos centrarnos”, afirma. “Recuerde, muchos de estos programas, muchos de estos proyectos centrales de código abierto son proyectos de un solo mantenedor que resultan ser increíblemente populares. »
EL ataque coordinado contra el proyecto XZ Utils pone de relieve el peligro a gran escala. En este incidente, un grupo sofisticado atacó al único mantenedor del proyecto, sobrecargado de trabajo, durante tres años. Los miembros del grupo atacante adoptaron diversas identidades para criticarlo y ofrecerle ayuda. Al final, los atacantes obtuvieron privilegios de mantenimiento y código explotable integrado.
El ataque al proyecto XZ Utils, que podría haber comprometido muchos otros proyectos que dependen de él, contiene lecciones importantes: no sólo es importante la seguridad de la cadena de suministro, sino que dichos ataques pueden detenerse. Arasaratnam destacó el hecho de que una de las herramientas gratuitas de OpenSSF, Scorecards, destacó la naturaleza riesgosa del proyecto XZ Utils, y que otros proyectos han utilizado estas herramientas para detectar esfuerzos similares de ingeniería social.
“La buena noticia es que después de escuchar [about the attack]”Otros proyectos de código abierto han identificado modus operandi muy similares entre actores que intentan hacer las mismas cosas”, afirma. “Pero como estos proyectos tenían muchos más recursos, no fueron sensibles a ello. »
Cree un ecosistema seguro de código abierto
Para fortalecer la seguridad y evitar los peligros de proyectos sin financiación suficiente, las empresas tienen varias opciones, comenzando por determinar en qué OSS confían sus desarrolladores y operaciones. Para tal fin, lista de materiales de software (SBOM) Y análisis de composición de software (SCA) El software puede ayudar a enumerar lo que hay en el entorno y potencialmente ayudar a reducir la cantidad de paquetes que las empresas necesitan verificar y administrar, dice Chris Hughes, asesor jefe de seguridad de la firma de seguridad blockchain Endor Labs.
“Simplemente hay tanto software, tantos proyectos, tantas bibliotecas“Que la idea de… monitorearlos activamente a todos es simplemente… es muy difícil”, dijo.
Finalmente, capacitar a los desarrolladores y administradores de paquetes sobre cómo producir y administrar código de forma segura es otra área que puede generar ganancias significativas. OpenSSF, por ejemplo, creó un curso LFD 121 gratuito como parte de este esfuerzo.
“Desarrollaremos un curso sobre arquitecturas de seguridad, que también se lanzará a finales de este año”, dice Arasaratnam de OpenSSF. “Además de un curso de seguridad dirigido no sólo a ingenieros, sino también a responsables técnicos, porque creemos que es una parte esencial de la ecuación. »
El grupo también se centró en trabajar con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) para identificar proyectos críticos de código abierto. El grupo desarrolla y financia la creación de herramientas como OpenSSF Scorecard, para documentar la postura de seguridad de paquetes específicos, y Sigstore, una firma digital que puede validar las afirmaciones de seguridad de paquetes de software. Finalmente, Arasaratnam dice que OpenSSF ha ayudado a proteger las plataformas de repositorio donde residen los paquetes de código abierto, incluyendo PyPI, Gemas de rubíY npm, el administrador de paquetes de Node.