Новые требования задают единые стандарты безопасности репозиториев.
Агентство кибербезопасности и инфраструктурной безопасности США (CISA) объявило о сотрудничестве с рабочей группой фонда безопасности открытого исходного кода (OpenSSF). Организации представили совместную платформу для обеспечения безопасности репозиториев пакетов.
Новый фреймворк, получивший название «Принципы безопасности репозиториев пакетов» (Principles for Package Repository Security), предлагает основные правила для управления пакетами и направлен на усиление защиты экосистемы открытого программного обеспечения.
OpenSSF подчёркивает критическую роль репозиториев пакетов в предотвращении и смягчении атак, указывая на то, что даже простые меры, такие как наличие документированной политики восстановления аккаунтов, могут существенно улучшить безопасность. В то же время необходимо учитывать ресурсные ограничения репозиториев, многие из которых управляются некоммерческими организациями.
Фреймворк определяет четыре уровня безопасности репозиториев в четырёх категориях: аутентификация, авторизация, общие возможности и инструментарий командной строки:
Авторы нового фреймворка, Джек Кейбл и Зак Стейндлер, отмечают , что все экосистемы управления пакетами должны стремиться как минимум к достижению уровня 1.
Основная цель заключается в том, чтобы репозитории пакетов могли самостоятельно оценить свой уровень безопасности и разработать план постепенного усиления защитных механизмов.
Разработка фреймворка происходит на фоне предупреждений Центра координации кибербезопасности сектора здравоохранения США (HC3) о рисках безопасности, связанных с использованием открытого программного обеспечения для ведения медицинских записей, управления запасами, выписки рецептов и биллинга.
«Несмотря на то что открытое программное обеспечение служит основой современной разработки ПО, оно также часто является наиболее уязвимым звеном в цепочке поставок программного обеспечения», — говорится в отчёте HC3, опубликованном в декабре 2023 года.
От классики до авангарда — наука во всех жанрах