Linux

Google Cloud ofrece software de código abierto garantizado de forma gratuita

0 3 7 minutos de lectura
A shield and lock on a vector of the world.

Proteger y bloquear el vector mundial.Imagen: Google

El software de código abierto y los riesgos de seguridad de la cadena de suministro de software siguen siendo una preocupación importante para los desarrolladores y las organizaciones. Según un estudio de 2023 realizado por la empresa de automatización y diseño electrónico Synopsys, el 84 % de las bases de código de software de código abierto contienen al menos una vulnerabilidad conocida (un aumento de casi el 4 % con respecto al año pasado) y el 48 % contiene vulnerabilidades de alto riesgo.

Para combatir las amenazas que acechan en el software de código abierto, Google Cloud está haciendo que su servicio Assured Open Source Software para los ecosistemas de Java y Python sea gratuito para todos. El OSS Assured gratuito permite que cualquier organización acceda a los paquetes de código base examinados por Google que Google utiliza en su flujo de trabajo.

La medida sigue a la decisión de Google Cloud de ofrecer sus defensas de denegación de servicio distribuido (DDoS) de Project Shield a sitios web gubernamentales, noticias y periodistas independientes, sitios relacionados con elecciones y votaciones, y sitios que tratan sobre derechos humanos, una respuesta al aumento de Ataques DDoS por motivos políticos.

mirar: DevSecOps para protección ciclo de vida del software.

Assured OSS, un jardín amurallado de bases de código abierto

Google lanzó Assured OSS en mayo de 2023 en parte en respuesta a un rápido aumento de los ataques cibernéticos contra proveedores de código abierto, dijo Andy Chang, gerente de producto de la división de seguridad y privacidad de Google. Citando fuentes de la industria, dijo que para 2023, cuando el uso de OSS aumente drásticamente, los ataques a la cadena de suministro de software aumentarán en un 650%.

Informes de seguridad de lectura obligada

Le dijo a Tecnopedia que desde que la compañía anunció e implementó Assured OSS por primera vez, tiene la intención de que el servicio satisfaga las necesidades de los equipos y desarrolladores de DevSecOps, permitiéndoles usar las canalizaciones y las herramientas que usan y aprovechan todos los días.

«Los ataques a la cadena de suministro de software dirigidos al código abierto siguen aumentando. La ingestión segura de paquetes de código abierto es un desafío común sin importar dónde las organizaciones y los desarrolladores elijan construir su código», dijo. «Google está en una posición única en esta área porque somos colaboradores, mantenedores y usuarios de software de código abierto desde hace mucho tiempo y hemos desarrollado un sólido conjunto de tecnologías, procesos, características de seguridad y controles».

LEER  Linux 101: $HOME es donde está el corazón
Publicaciones relacionadas

Arroja luz sobre cuatro factores clave detrás del aumento de los ataques:

  • difusión del SFA
  • El ritmo de implementación se está acelerando, especialmente con contenedores, microservicios y más y más servicios de datos en la nube que se están convirtiendo en tendencias.
  • Muchos vectores de ataque atacan todas las capas de la pila: hardware, sistemas de infraestructura, sistemas operativos, middleware, servicios de aplicaciones, API y, los puntos de entrada más vulnerables, los humanos.
  • Lagunas en la estandarización y la información sobre seguridad y riesgos en torno a las herramientas necesarias para gestionar completamente el ciclo del producto (Figura A).

Figura A

Factores que contribuyen al aumento de la frecuencia de los ataques a la cadena de suministro.Imagen: Nube de Google. Factores que contribuyen al aumento de la frecuencia de los ataques a la cadena de suministro.

Google tiene un interés directo en mantener la comunidad de fuente abierta lo más segura posible, explicó Mike McGuire, gerente senior de soluciones de software de Software Integrity Group de Synopsys, la unidad comercial de seguridad de aplicaciones de la empresa.

«La comunidad de código abierto es realmente lo que es: una ‘comunidad’ funciona mejor cuando sus miembros no solo preguntan sino que también contribuyen, y Google siempre ha apoyado eso con sus acciones», dijo. «Google claramente tiene una serie de herramientas, procesos y marcos para garantizar la integridad de sus dependencias y canalizaciones de desarrollo, por lo que simplemente están compartiendo los frutos de estos esfuerzos con la comunidad en general».

Agregó que Google está trabajando arduamente para desarrollar su plataforma de desarrollo de aplicaciones nativas de la nube, «que es más valiosa cuando se usa y significa menos preocupación por las amenazas complejas de la cadena de suministro de software».

Características de OSS asegurado

Según Google, los paquetes de códigos proporcionados como parte del programa Google Assured OSS:

  • Escanee, analice y corrija regularmente en busca de vulnerabilidades.
  • Tiene metadatos enriquecidos correspondientes que contienen datos de análisis de contenedores/artefactos.
  • Construido con Cloud Build, incluida una prueba verificable del cumplimiento de SLSA.
  • Firmado verificablemente por Google.
  • Distribuido desde el Registro de artefactos protegidos de Google.

Protección de las bases de código desde el fuzzing hasta el cumplimiento de SLSA

Asegurar una base de código significa abordar posibles puntos de entrada para los atacantes, así como software de prueba de fallas para los llamados casos de esquina o debilidades en áreas inesperadas.

McGuire dijo que Google tiene estándares estrictos en lo que respecta a los paquetes en los que confían, y para los paquetes en los que confían, básicamente los respaldan ante el público y brindan evidencia del esfuerzo que han realizado para examinar esos componentes.

«Assured OSS claramente ofrece valor a las organizaciones que buscan orientación sobre qué paquetes de software confiar en el vasto mundo de código abierto», dijo. «Pero lo que es más importante, también cuentan con las herramientas para evitar que los componentes problemáticos ingresen a su proceso de desarrollo y para monitorear continuamente los componentes previamente confiables en busca de cualquier problema recién descubierto».Figura B)

Figura B

Vulnerabilidades en el ciclo de vida del desarrollo de software.Imagen: Google. Vulnerabilidades en el ciclo de vida del desarrollo de software.

pruebas de fuzz

Chang explicó que fuzzing, también conocido como «fuzzing», utiliza entradas no válidas, inesperadas o aleatorias para exponer comportamientos anormales, como fugas de memoria, bloqueos o funcionalidad no documentada.

software de salsa

SLSA — «Nivel de cadena de suministro para artefactos de software», pronunciado «salsa» — los marcos agregan un nivel de seguridad al ciclo de vida del desarrollo de software. «Los desarrolladores de software de hoy tienen el desafío de tomar decisiones informadas sobre el software externo que incorporan a sus sistemas», dijo Chang. «Especialmente si es propiedad y está operado por un tercero».

SLSA formaliza los estándares para la integridad de la cadena de suministro de software y ayuda a las empresas a avanzar hacia una cadena de suministro de software más segura al agregar más orientación de seguridad para abordar las amenazas más comunes de la actualidad, dijo.

«Cuando el software se entrega a un nivel SLSA validado y garantizado, los clientes saben por adelantado qué riesgos ha mitigado el proveedor», explicó.

«En pocas palabras, SLSA es un marco de Google para evaluar la seguridad de los paquetes de software y el ciclo de vida de desarrollo para construirlos y entregarlos», agregó McGuire. «En lo que respecta a Assured OSS, como parte del programa, se han creado, evaluado y entregado paquetes respaldados por Google según los estándares SLSA, que están diseñados para garantizar la integridad del paquete a la comunidad», dijo.

metadatos enriquecidos

Según Chang, los metadatos enriquecidos que incluyen datos de análisis de contenedores son fundamentales porque «cuanto más sepa sobre el software de código abierto que está utilizando, mejores opciones pueden hacer los equipos de DevSecOps en términos de cumplimiento de políticas y riesgo».

Da un ejemplo de cómo los clientes pueden usar metadatos enriquecidos con el paquete Assured OSS:

  • Consulte la lista de dependencias transitivas proporcionada para ver qué más podría verse afectado.
  • Revise los niveles de SLSA para ayudar a guiar las políticas de admisión y protección que establecen para que los paquetes progresen en su canalización.
  • Mire los datos de VEX (o Vulnerabilidad, Explotación e Intercambio) para comprender mejor cuáles son las vulnerabilidades de mayor impacto en los componentes de código abierto.
  • Comprenda los datos del archivo de licencia proporcionados para que los clientes puedan aplicar políticas según sea necesario para garantizar que cumplan con sus políticas internas de Office de programas de código abierto.

firma de software

Al igual que con los cheques firmados, Assured OSS brinda firmas verificables para sus archivos binarios y metadatos que permiten a los clientes verificar fácilmente que los archivos binarios y los metadatos provienen de Google y no han sido manipulados durante la distribución, dijo Chang.

«Además, debido a que los metadatos están firmados, los clientes pueden estar seguros de que los detalles contenidos en los metadatos, incluidos cómo se creó el paquete, los pasos de construcción, qué herramientas de construcción tocaron el código y qué herramientas de escaneo de seguridad se ejecutaron en el código, son en consonancia con los mismos de Google que cuando se crearon», dijo.

Ver también: DevSecOps es más que Mover hacia la izquierda.

Concéntrese en los paquetes de Java y Python

Google dice que el programa Assured OSS hará posible que las organizaciones obtengan paquetes OSS de fuentes examinadas y sepan qué contiene el software porque incluye la lista de materiales del software de Google, comúnmente conocida como SBOM. El proyecto Assured OSS incluye 1000 paquetes Java y Python, lo que reduce la necesidad de que los equipos de DevOps configuren y operen sus propios flujos de trabajo de seguridad OSS, dijo la compañía.

«El uso de métodos como fuzzing, incluidos los metadatos del contenedor o los resultados del análisis de artefactos, puede probar el trabajo de seguridad realizado», dijo McGuire. “El hecho de poder realizar este tipo de pruebas de seguridad en las dependencias y proporcionar este nivel de información podría ser un presagio de lo que vendrá para los productores de software en el futuro cercano, especialmente para aquellos que hacen negocios en regiones altamente reguladas para la industria. «

mirar: Por qué seguridad de la cadena de suministro Debería ser parte de su plan DevOps 2023.

Crecimiento masivo en OSS y vulnerabilidades de OSS

El octavo informe anual de análisis de riesgos y seguridad de código abierto (OSSRA) de Synopsys, basado en 1700 auditorías en 17 industrias, encontró que:

  • El uso de OSS en el sector EdTech aumentó un 163%.
  • Las industrias aeroespacial, de aviación, automotriz, de transporte y logística experimentaron un aumento del 97 % en el uso de OSS y un aumento del 232 % en las vulnerabilidades de alto riesgo.
  • El uso de OSS en las industrias de manufactura y robótica aumentó en un 74%.
  • Desde 2023, las vulnerabilidades de alto riesgo en el comercio minorista y el comercio electrónico han aumentado un 557 %.
  • El 89 % de todos los códigos son de código abierto y las vulnerabilidades de alto riesgo han aumentado un 130 % durante el mismo período.
  • El 31% de las bases de código utilizan código abierto sin licencia reconocible o licencia personalizada.

LEER  Cinco consejos para acelerar su trabajo en LibreOffice Writer
Etiquetas
0 3 7 minutos de lectura

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba