De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft aangekondigd dat het samenwerkt met de Open Source Security Foundation (OpenSSF) Securing Software Repositories Working Group om een nieuw raamwerk te publiceren voor het beveiligen van pakketrepository’s.
Genaamd de Principes voor de beveiliging van pakketrepository’sHet raamwerk heeft tot doel een reeks fundamentele regels voor pakketbeheerders vast te stellen en open-source software-ecosystemen verder te versterken.
“Pakketopslagplaatsen bevinden zich op een cruciaal punt in het open-source-ecosysteem om dergelijke aanvallen te helpen voorkomen of beperken”, aldus OpenSSF.
“Zelfs eenvoudige acties zoals het hebben van een gedocumenteerd accountherstelbeleid kunnen leiden tot robuuste beveiligingsverbeteringen. Tegelijkertijd moeten de mogelijkheden in evenwicht worden gebracht met de beperkte middelen van pakketrepository’s, waarvan er vele worden beheerd door non-profitorganisaties.”
De principes omvatten met name vier beveiligingsniveaus voor pakketrepository’s in vier categorieën van authenticatie, autorisatie, algemene mogelijkheden en opdrachtregelinterface (CLI) -tools –
- Niveau 0 – Zeer weinig volwassenheid op het gebied van beveiliging.
- Niveau 1 – Het beschikken over een basisvolwassenheid op het gebied van beveiliging, zoals multi-factor authenticatie (MFA) en het mogelijk maken van beveiligingsonderzoekers om kwetsbaarheden te melden
- Level 2 – Het hebben van gematigde beveiliging, waaronder acties zoals het vereisen van MFA voor kritieke pakketten en het waarschuwen van gebruikers voor bekende beveiligingsproblemen
- Niveau 3 – Het hebben van geavanceerde beveiliging, die MFA vereist voor alle beheerders en de build-herkomst van pakketten ondersteunt
Alle ecosystemen voor pakketbeheer zouden naar minimaal niveau 1 moeten toewerken, merken de auteurs van het raamwerk, Jack Cable en Zach Steindler, op.
Het uiteindelijke doel is om pakketopslagplaatsen in staat te stellen zelf de volwassenheid van hun beveiliging te beoordelen en een plan te formuleren om hun vangrails in de loop van de tijd te versterken in de vorm van beveiligingsverbeteringen.
“Veiligheidsbedreigingen veranderen in de loop van de tijd, evenals de beveiligingsmogelijkheden die deze bedreigingen aanpakken”, aldus OpenSSF. “Ons doel is om pakketrepository’s te helpen sneller de beveiligingsmogelijkheden te bieden die het beste helpen de veiligheid van hun ecosystemen te versterken.”
De ontwikkeling komt op het moment dat het Health Sector Cybersecurity Coördinatiecentrum (HC3) van het Amerikaanse ministerie van Volksgezondheid en Human Services waarschuwde voor veiligheidsrisico’s die kunnen ontstaan als gevolg van het gebruik van open-sourcesoftware voor het bijhouden van patiëntendossiers, voorraadbeheer, recepten en facturering.
“Hoewel open-sourcesoftware de basis vormt van moderne softwareontwikkeling, is het ook vaak de zwakste schakel in de softwaretoeleveringsketen”, aldus het rapport in een dreigingsbrief die in december 2023 werd gepubliceerd.
