Открытое ПО – крепость или мишень? CISA и OpenSSF знают ответ
NewsMakerНовые требования задают единые стандарты безопасности репозиториев.
Агентство кибербезопасности и инфраструктурной безопасности США ( CISA ) объявило о сотрудничестве с рабочей группой фонда безопасности открытого исходного кода ( OpenSSF ). Организации представили https://openssf.org/blog/2024/02/08...s-principles-for-package-repository-security/ совместную платформу для обеспечения безопасности репозиториев пакетов.
Новый фреймворк, получивший название «Принципы безопасности репозиториев пакетов» (Principles for Package Repository Security), предлагает основные правила для управления пакетами и направлен на усиление защиты экосистемы открытого программного обеспечения.
OpenSSF подчёркивает критическую роль репозиториев пакетов в предотвращении и смягчении атак, указывая на то, что даже простые меры, такие как наличие документированной политики восстановления аккаунтов, могут существенно улучшить безопасность. В то же время необходимо учитывать ресурсные ограничения репозиториев, многие из которых управляются некоммерческими организациями.
Фреймворк определяет четыре уровня безопасности репозиториев в четырёх категориях: аутентификация, авторизация, общие возможности и инструментарий командной строки:
Основная цель заключается в том, чтобы репозитории пакетов могли самостоятельно оценить свой уровень безопасности и разработать план постепенного усиления защитных механизмов.
Разработка фреймворка происходит на фоне предупреждений Центра координации кибербезопасности сектора здравоохранения США ( HC3 ) о рисках безопасности, связанных с использованием открытого программного обеспечения для ведения медицинских записей, управления запасами, выписки рецептов и биллинга.
«Несмотря на то что открытое программное обеспечение служит основой современной разработки ПО, оно также часто является наиболее уязвимым звеном в цепочке поставок программного обеспечения», — говорится в отчёте HC3, опубликованном в декабре 2023 года.
Агентство кибербезопасности и инфраструктурной безопасности США ( CISA ) объявило о сотрудничестве с рабочей группой фонда безопасности открытого исходного кода ( OpenSSF ). Организации представили https://openssf.org/blog/2024/02/08...s-principles-for-package-repository-security/ совместную платформу для обеспечения безопасности репозиториев пакетов.
Новый фреймворк, получивший название «Принципы безопасности репозиториев пакетов» (Principles for Package Repository Security), предлагает основные правила для управления пакетами и направлен на усиление защиты экосистемы открытого программного обеспечения.
OpenSSF подчёркивает критическую роль репозиториев пакетов в предотвращении и смягчении атак, указывая на то, что даже простые меры, такие как наличие документированной политики восстановления аккаунтов, могут существенно улучшить безопасность. В то же время необходимо учитывать ресурсные ограничения репозиториев, многие из которых управляются некоммерческими организациями.
Фреймворк определяет четыре уровня безопасности репозиториев в четырёх категориях: аутентификация, авторизация, общие возможности и инструментарий командной строки:
- уровень 0 соответствует минимальной безопасности;
- уровень 1 обеспечивает базовую безопасность, включая многофакторную аутентификацию ( MFA ) и возможность сообщения об уязвимостях;
- уровень 2 предусматривает умеренную безопасность, требующую MFA для критически важных пакетов и предупреждения пользователей об известных уязвимостях;
- уровень 3 означает продвинутый уровень безопасности, требующий MFA для всех сопровождающих операций и поддержку проверки происхождения сборок пакетов.
Основная цель заключается в том, чтобы репозитории пакетов могли самостоятельно оценить свой уровень безопасности и разработать план постепенного усиления защитных механизмов.
Разработка фреймворка происходит на фоне предупреждений Центра координации кибербезопасности сектора здравоохранения США ( HC3 ) о рисках безопасности, связанных с использованием открытого программного обеспечения для ведения медицинских записей, управления запасами, выписки рецептов и биллинга.
«Несмотря на то что открытое программное обеспечение служит основой современной разработки ПО, оно также часто является наиболее уязвимым звеном в цепочке поставок программного обеспечения», — говорится в отчёте HC3, опубликованном в декабре 2023 года.