Les attaquants ciblent de plus en plus les chaînes d’approvisionnement logicielles (les processus, les référentiels et les chaînes d’outils utilisés pour développer et fournir des logiciels). L’Agence de l’Union européenne pour la cybersécurité, ENISA, a estimé en « Paysage des menaces pour les attaques de la chaîne d’approvisionnement » qu’il y aurait quatre fois plus d’attaques de la chaîne d’approvisionnement logicielle en 2021 par rapport à 2020. Le rapport indique en raison de « … une protection de sécurité plus robuste qui [many] les organisations ont mis en place [today], les attaquants se sont déplacés avec succès vers les fournisseurs.

Les gouvernements du monde entier ont noté et réagi à ce risque croissant pour la chaîne d’approvisionnement des logiciels. En mai 2021, les États-Unis ont publié un Décret exécutif sur l’amélioration de la cybersécurité de la nation pour améliorer la sécurité de la chaîne d’approvisionnement des logiciels, notamment en fournissant aux acheteurs de logiciels une nomenclature de logiciels (SBOM). Des efforts similaires sont en cours partout dans le monde.

En 2021, nos communautés ont relevé le défi de fournir des outils et des bonnes pratiques pour le renforcement de la sécurité des chaînes logistiques mondiales. Nos efforts comprenaient le lancement de l’Open Source Security Foundation (OpenSSF) en tant que projet financé, l’expansion de Let’s Encrypt – la plus grande autorité de certification au monde, la garantie de la normalisation ISO de SPDX en tant que norme SBOM, l’affectation de fonds pour identifier et corriger les vulnérabilités dans les logiciels open source critiques, et la création d’un nouveau programme de formation pour améliorer les pratiques de codage sécurisé.

Point culminant de la communauté : OpenSSF

La Fondation de sécurité Open Source (OpenSSF) a été élevé au rang de projet financé au LF en octobre 2021. L’OpenSSF est une collaboration intersectorielle qui rassemble des leaders pour améliorer la sécurité des logiciels open source (OSS) en créant une communauté plus large, des initiatives ciblées et les meilleures pratiques. Les principaux membres d’OpenSSF comprennent : 1Password, AWS, Cisco, Citi, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, Google, Huawei, Intel, IBM, JP Morgan Chase, Microsoft, Morgan Stanley, Oracle, Red Hat, Snyk et VMWare.

L’OpenSSF a lancé de nombreuses initiatives en 2021, notamment :

Publicité

Fiche d’évaluation de la sécurité : évalue automatiquement de nombreuses heuristiques liées à la sécurité pour aider à estimer la sécurité du projetAllstar : un outil automatisé pour appliquer certaines politiques de sécuritéExamens de sécurité : collecte les revues de sécurité des logiciels libresTableau de bord des mesures de sécurité : fournit un accès facile aux mesures de sécurité/informations sur les projets OSSGuide de vulnérabilité OSS : un guide de divulgation coordonnée des vulnérabilités pour les projets de logiciels open sourceSchéma de vulnérabilité Open Source (OSV)Niveaux de la chaîne d’approvisionnement pour les artefacts logiciels (SLSA) : cadre de sécurité pour la sécurité des logiciels et l’intégrité de la chaîne d’approvisionnementFlux de paquets / Analyse de paquet: analyse les paquets téléchargés pour identifier les paquets potentiellement malveillants

L’OpenSSF a également continué à affiner ses travaux existants, y compris ses cours gratuits sur la façon de développer des logiciels sécurisés (plus de 4 000 inscrits combinés) et le Programme de badges des meilleures pratiques CII (plus de 4 000 projets participants et plus de 600 projets réussis).

Normes du logiciel de berger

La Linux Foundation soutient fermement les efforts visant à créer et à favoriser l’adoption de normes et d’infrastructures open source. Ces efforts comprennent :

SPDX — une norme internationale pour représenter les métadonnées pour les SBOM (ISO/IEC 5962)Chaîne ouverte — une approche standardisée de gestion des processus pour identifier les logiciels ouverts entrants, internes et sortants. Il est principalement conçu pour la conformité et présente des cas d’utilisation secondaires clairs en matière de sécurité ( ISO 5230). Outils d’automatisation de la conformité (ACT) projets (y compris OSS Review Toolkit, FOSSology, Tern) et le workflow de référence OpenChain, en cours d’extension pour ajouter de nouveaux cas d’utilisation. Formation sur des sujets de transparence des logiciels, y compris «Génération d’un SBOM« 

Nous remercions tous les participants de la communauté SPDX. Un merci spécial à Gary O’Neall pour son travail de développement de l’outillage SPDX ; ce travail a permis aux développeurs de l’ensemble de l’écosystème d’adopter plus facilement SPDX dans leurs flux de travail. Des remerciements particuliers vont également à Steve Winslow et Jlayyne Lovejoy pour leurs efforts inlassables dans le maintien de la liste des licences SPDX au cours des dix dernières années. La norme SPDX continue d’évoluer grâce aux efforts inlassables de nombreux développeurs talentueux, dont Alexios Zavras, William Bartholomew, Thomas Steenbergen et Nisha Kumar.

Kate Stewart, vice-présidente des systèmes fiables, The Linux Foundation

Établir des projets et des conférences pour améliorer la sécurité

En plus des projets énumérés précédemment, le LF finance divers projets pour améliorer la sécurité open source. Certains notables parmi eux comprennent:

sigstore — travaux de développement sur cette suite technologique pour permettre aux développeurs de signer des artefacts logiciels en toute sécurité. Le matériel de signalisation est stocké dans un journal public inviolable. (Le projet est géré par Google, Red Hat et Purdue University)Alpine Linux — traitement des vulnérabilités pour cette distribution Linux légère et orientée sécurité.Alpine Linux, Arch Linux — builds reproductibles pour ces deux distributions Linux.OpenSSH, RPKI — développement de infrastructure « plombing » Clang, noyau Linux – compilation du noyau Linux avec les avertissements clang et correctif trouvés lors du processus de compilation Noyau Linux – audits de sécurité pour les politiques de signature/gestion des clés et les modules de rapport de vulnérabilité, respectivement)

Le FL a également favorisé des approches pour discuter et traiter les attaques de la chaîne d’approvisionnement en ligne et dans des lieux virtuels, y compris Intégrer la cybersécurité à la mairie de la chaîne d’approvisionnement logicielle et SupplyChainSecurityCon.

Point culminant de la communauté : Groupe de recherche sur la sécurité Internet

Chiffrons fournit l’infrastructure numérique pour un Internet plus sûr et plus respectueux de la vie privée. Elle exploite la plus grande autorité de certification au monde, sécurisant le trafic de plus de 250 millions de sites Web.

Fin 2020, l’ISRG a lancé Prossimo, un projet dont l’objectif est de déplacer l’infrastructure logicielle Internet sensible à la sécurité vers code à mémoire de forme. La plupart des vulnérabilités logicielles les plus critiques sont des problèmes de sécurité de la mémoire dans le code C et C++. Bien que le déploiement du fuzzing, de l’analyse statique et des revues de code puisse détecter les vulnérabilités, de telles atténuations n’éliminent pas tous les risques. De plus, ces tactiques d’atténuation de la sécurité consomment en permanence des ressources considérables. En revanche, l’utilisation de langages sûrs pour la mémoire élimine toute la catégorie de problèmes. Cette année, Prossimo a travaillé avec les responsables du noyau Linux, de cURL et d’Apache pour introduire un nouveau code sécurisé en mémoire dans ces logiciels critiques et largement utilisés.

Le dernier projet de l’ISRG, Prio, consiste à exploiter un métriques préservant la confidentialité service. Prio utilise un système qui permet la collecte de statistiques globales telles que les métriques d’application. L’application Covid-19 Exposure Notification Express d’Apple et de Google utilise ce service. L’ISRG Prio a traité plus de deux milliards de métriques et aide les opérateurs à optimiser l’expérience utilisateur sur la base de métriques de télémétrie agrégées et respectueuses de la confidentialité.

Ces efforts de standardisation sont rendus possibles par l’OpenSSF, les projets SPDX et OpenChain, et l’ISRG.

Pour en savoir plus et vous impliquer avec OpenSSF, Cliquez ici

Pour en savoir plus et vous impliquer avec l’ISRG, Cliquez ici

Pour en savoir plus sur la norme SPDX SBOM, Cliquez ici

Pour en savoir plus sur la norme OpenChain, Cliquez ici

La poste Fondation Linux : défendre la chaîne d’approvisionnement mondiale des logiciels contre les cyberattaques en 2021 est apparu en premier sur Fondation Linux.

Rate this post
Publicité
Article précédent5 anime à surveiller pour les fans qui ont adoré Mushoku Tensei : Réincarnation sans emploi
Article suivantFortnite : c’est les mondes de la fête ; Nouveauté créative
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici