A segurança de código aberto revidou em 2022
Por Matt Asay
Colaborador, InfoWorld |
O início de dezembro marcou o aniversário de um ano do colapso da segurança Log4j. Desde então, o mundo do software tem estado em uma corrida mortal para garantir que isso nunca aconteceria novamente. Finalmente estamos vendo alguma tração à medida que os elos perdidos na segurança da cadeia de suprimentos de software começam a ser preenchidos.
O Log4j foi um evento paralisante para muitas organizações que lutavam para entender se e onde estavam executando o popular utilitário de registro de código aberto em seus ambientes. Mas a Log4j também forçou a indústria a enfrentar a natureza transitiva das explorações da cadeia de fornecimento de software e a facilidade com que as explorações ultrapassam as dependências de software. Não foi uma maneira divertida para as equipes de segurança encerrarem 2021.
Nem os fornecedores de segurança se cobriram de glória. Inicialmente, vimos uma onda de profissionais de marketing de software de segurança oportunistas correndo para posicionar seus produtos como soluções diretas. Mas de acordo com Dan Lorenc, CEO e fundador da startup de segurança da cadeia de suprimentos de software Chainguard, “a maioria dos scanners usa bancos de dados de pacotes para ver quais pacotes estão instalados dentro dos contêineres. Os softwares instalados fora desses sistemas não são facilmente identificáveis, tornando-os invisíveis aos scanners.”
Em outras palavras, os fornecedores de segurança vendiam pensamentos e orações, e não soluções reais.
Nem todos foram tão vazios em suas respostas. Este desafio de segurança da cadeia de fornecimento de software está conectado muito especificamente ao código aberto. A realidade é que os aplicativos modernos são construídos principalmente com estruturas de código aberto de origem de segurança um tanto desconhecida. Você simplesmente não pode ter uma solução empresarial que proteja todo o código aberto – ela não funciona nesse sentido. A resposta, ao que parece, precisa vir da própria comunidade de código aberto. Em 2022, sim.
Tem havido uma quantidade incrível de atividades em torno da segurança da cadeia de suprimentos de software e muitos exemplos da comunidade de código aberto circulando em 2022.
Algumas delas são sinalizações públicas bem-vindas, mas em grande parte vazias de funcionários, como a ordem executiva da Casa Branca para proteger a cadeia de fornecimento de software e a Lei de Proteção de Software de Código Aberto do Senado dos EUA de 2022. Isso é bom, mas a segurança de software não se trata de proclamações públicas . Felizmente, o que realmente aconteceu no ano passado foi muita agitação para equipar os desenvolvedores com as cadeias de ferramentas para abordar a segurança da cadeia de suprimentos mais à esquerda no ciclo de vida de desenvolvimento de software.
Não é de surpreender que a Linux Foundation e a Cloud Native Computing Foundation tenham estado fortemente envolvidas para que isso acontecesse nos principais projetos de código aberto. Por exemplo, o formato SPDX SBOM chegou às principais plataformas como Kubernetes. A Open Source Security Foundation tem mais de 100 membros e muitos milhões de dólares em financiamento para mais padrões e ferramentas. Linguagens seguras para memória, como Rust, são suportadas pelo kernel Linux para evitar toda uma classe de vulnerabilidades relacionadas a artefatos de software.
Possivelmente, a tecnologia individual mais notável que esteve em alta durante o ano passado é a Sigstore, a ferramenta de assinatura de código que nasceu no Google e na Red Hat e se tornou o “selo de cera” de fato agora incorporado em registros de software de código aberto e conjuntos de ferramentas. Kubernetes, npm e PyPi estão entre as plataformas e registros que adotaram Sigstore como padrões de assinatura. É importante ressaltar que todas essas assinaturas da Sigstore vão para um registro de transparência pública, que é um novo impulso importante para o ecossistema de segurança começar a conectar os pontos entre a assinatura de software, listas de materiais de software (SBOMs) e toda a cadeia de ferramentas de origem de segurança da cadeia de suprimentos de software. .
Qualquer pessoa que tenha prestado atenção ao código aberto nos últimos 20 anos – ou mesmo nos últimos dois – não ficará surpreendida ao ver interesses comerciais começarem a florescer em torno destas populares tecnologias de código aberto. Como se tornou padrão, esse sucesso comercial geralmente é escrito como nuvem. Aqui está um exemplo proeminente: em 8 de dezembro de 2022, a Chainguard, a empresa cujos fundadores co-criaram a Sigstore enquanto estavam no Google, lançou o Chainguard Enforce Signing, que permite aos clientes usar a Sigstore como serviço para gerar assinaturas digitais para artefatos de software dentro de seus próprios organização usando suas identidades individuais e chaves de uso único.