S'attaquer aux défis de la sécurité de la chaîne d'approvisionnement logicielle
Explorer les dernières idées du sommet sur la sécurité de la chaîne d'approvisionnement logicielle.
― 7 min lire
Table des matières
Ces dernières années, on a vu une hausse des cyberattaques ciblant les faiblesses des chaînes d'approvisionnement logicielles. Ces attaques ont causé des dégâts importants aux entreprises et aux organisations. Des incidents bien connus incluent SolarWinds et log4j, qui ont touché pas mal de clients. Le gouvernement américain et le secteur privé bossent ensemble pour améliorer la sécurité des chaînes d'approvisionnement logicielles.
Le 7 juin 2023, un sommet a eu lieu pour discuter de ces problèmes. Des chercheurs d'un centre axé sur les chaînes d'approvisionnement logicielles sécurisées ont réuni 17 pros de diverses agences gouvernementales pour parler de leurs expériences et défis liés à la sécurité des logiciels. Le sommet visait à partager des idées d'événements précédents dans l'industrie et à encourager le débat entre les représentants du gouvernement.
Objectifs du Sommet
Le sommet avait deux grands objectifs :
- Partager les observations des sommets précédents axés sur l'industrie.
- Permettre aux participants de différentes agences gouvernementales de discuter de leurs expériences pratiques et des obstacles à la sécurisation des chaînes d'approvisionnement logicielles.
Les discussions ont couvert plusieurs sujets, dont un décret exécutif, les factures de matériaux logiciels (SBOMs), le choix des dépendances, l'attestation et l'utilisation de Grands Modèles de Langage dans le développement logiciel.
Décret Exécutif 14028
En 2021, le gouvernement américain a émis le décret exécutif 14028. Ce décret exige des organisations qui fournissent des logiciels critiques au gouvernement qu'elles améliorent la sécurité de leurs logiciels et de la chaîne d'approvisionnement dans son ensemble. Beaucoup d'organisations doivent changer leurs processus, opérations et culture à cause de ça.
Au sommet, les participants ont discuté de l'impact de l'ordre sur eux. Ils ont souligné que l'ordre ne couvre pas les logiciels développés en interne. Les participants ont partagé leurs avis basés sur leur travail avec des sous-traitants. Certains ont noté que mettre en œuvre l'ordre est compliqué, et beaucoup de délais ont été ratés.
Les participants ont discuté des préoccupations soulevées lors de sommets industriels précédents sur l'ambiguïté de l'ordre. Un participant a fait remarquer que cette ambiguïté donne aux entreprises une certaine liberté sur la façon de se conformer. Il y a aussi eu une conversation sur l'importance des SBOMs et comment d'autres aspects, comme l'attestation, ont besoin de plus d'attention.
Facture de Matériaux Logiciels (SBOM)
Un SBOM fonctionne comme une liste d'ingrédients pour les logiciels, montrant les composants qui composent un produit logiciel. Le décret exige que les entreprises qui vendent des logiciels au gouvernement fournissent un SBOM complet qui respecte des directives précises.
Lors des discussions, il est devenu clair qu'il y a encore des problèmes sur la façon dont les SBOMs sont générés. Les outils utilisés pour créer des SBOMs ne produisent pas toujours des résultats cohérents, et certains domaines, comme les logiciels embarqués, sont à la traîne. Les participants ont exprimé le souhait que les SBOMs soient formellement signés, ce qui n'est pas encore une pratique courante.
Choix des Dépendances
Lors du développement de logiciels, les équipes utilisent souvent de nombreuses dépendances tierces. Ces dépendances peuvent varier en qualité et en origine, ce qui signifie qu'elles comportent leurs propres risques. Une fois qu'une dépendance est intégrée dans un projet, il peut être difficile de la remplacer. C'est pourquoi il est essentiel d'avoir une politique pour choisir les dépendances.
Au sommet, beaucoup de participants se concentraient davantage sur le fait d'être des consommateurs de logiciels plutôt que des développeurs. Leurs sous-traitants gèrent le choix et la gestion des dépendances logicielles. Cependant, les participants ont convenu que l'intérêt pour la sécurité des chaînes d'approvisionnement logicielles a augmenté la prise de conscience de la quantité de logiciels open-source qu'ils utilisent.
Les participants ont souligné les différences dans la façon dont les politiques concernant le choix des dépendances fonctionnent dans le gouvernement par rapport à l'industrie. Les politiques gouvernementales ont tendance à être plus bureaucratiques, ce qui peut ralentir l'innovation. Il y avait des inquiétudes concernant l'utilisation de logiciels provenant de pays étrangers, avec une reconnaissance que "étranger" ne signifie pas toujours mauvais mais comporte des risques.
Auto-Attestation et Provenance
Le décret exige également que les entrepreneurs gouvernementaux attestent qu'ils suivent des pratiques de logiciels sécurisées et que les logiciels open-source qu'ils utilisent sont dignes de confiance. La provenance concerne la connaissance de la provenance du logiciel et de sa création.
Bien que certains participants aient apprécié l'importance de connaître la source du logiciel, d'autres étaient sceptiques quant à la façon dont les politiques basées sur ces informations pourraient être appliquées. Ils ont reconnu que le logiciel open-source a souvent des origines inconnues. Un participant a souligné l'importance de vérifier la qualité plutôt que de se concentrer uniquement sur la provenance.
Grands Modèles de Langage (LLMs)
Au cours de la dernière année, les grands modèles de langage, comme ChatGPT, ont gagné en popularité pour la génération de code. Cependant, leur utilisation soulève des préoccupations en matière de sécurité. Un problème est que si des adversaires compromettent les données d'entraînement des LLMs, cela pourrait mener à la création de code vulnérable.
Les participants ont discuté des inquiétudes concernant l'utilisation rapide des LLMs par le public. Les utilisateurs contribuent des données propriétaires à ces systèmes, ce qui peut unintentionnellement entraîner des fuites de données. Certains ont également souligné comment les LLMs pourraient être utilisés pour l'ingénierie sociale, manipulant potentiellement l'opinion publique.
Discussions Supplémentaires
Tout au long du sommet, d'autres sujets pertinents ont été discutés, principalement à partir des retours lors de sommets industriels précédents.
Mise à Jour des Dépendances
Les logiciels dépendent souvent de nombreuses dépendances tierces, ce qui peut ajouter de la complexité. Si une vulnérabilité est trouvée dans une dépendance tierce, elle doit être corrigée rapidement. Les participants ont reconnu les défis auxquels les organisations font face pour maintenir les logiciels à jour, surtout dans le gouvernement, où les processus peuvent ralentir la réponse.
Construction et Déploiement Sécurisés
Diverses plateformes et outils aident les développeurs à automatiser la construction, le test et le déploiement de logiciels. Ces plateformes assurent l'intégrité des constructions et créent un environnement cohérent. Les participants des agences gouvernementales peuvent avoir des processus pour évaluer les outils et imposer l'utilisation de solutions approuvées dans leurs pipelines.
Résumé
Bien que certaines agences gouvernementales aient de grandes équipes de développement logiciel, beaucoup sont principalement des consommateurs de logiciels. Ils dépendent des pratiques établies par des décrets exécutifs et des normes industrielles. Les participants ont noté qu'il y a de la confusion parmi les acteurs de l'industrie à cause d'un manque de clarté dans le décret exécutif et les directives entourant les SBOMs.
Le sommet a mis en lumière les complexités de la mise à jour des dépendances et les risques associés aux origines de logiciels étrangers. Les grands modèles de langage présentent à la fois des défis et des opportunités dans le paysage de la sécurité des chaînes d'approvisionnement logicielles.
Globalement, les discussions ont montré l'importance de la coopération entre les agences et l'industrie pour relever ces défis persistants en matière de sécurité des logiciels.
Titre: S3C2 Summit 2023-06: Government Secure Supply Chain Summit
Résumé: Recent years have shown increased cyber attacks targeting less secure elements in the software supply chain and causing fatal damage to businesses and organizations. Past well-known examples of software supply chain attacks are the SolarWinds or log4j incidents that have affected thousands of customers and businesses. The US government and industry are equally interested in enhancing software supply chain security. On June 7, 2023, researchers from the NSF-supported Secure Software Supply Chain Center (S3C2) conducted a Secure Software Supply Chain Summit with a diverse set of 17 practitioners from 13 government agencies. The goal of the Summit was two-fold: (1) to share our observations from our previous two summits with industry, and (2) to enable sharing between individuals at the government agencies regarding practical experiences and challenges with software supply chain security. For each discussion topic, we presented our observations and take-aways from the industry summits to spur conversation. We specifically focused on the Executive Order 14028, software bill of materials (SBOMs), choosing new dependencies, provenance and self-attestation, and large language models. The open discussions enabled mutual sharing and shed light on common challenges that government agencies see as impacting government and industry practitioners when securing their software supply chain. In this paper, we provide a summary of the Summit.
Auteurs: William Enck, Yasemin Acar, Michel Cukier, Alexandros Kapravelos, Christian Kästner, Laurie Williams
Dernière mise à jour: 2023-08-13 00:00:00
Langue: English
Source URL: https://arxiv.org/abs/2308.06850
Source PDF: https://arxiv.org/pdf/2308.06850
Licence: https://creativecommons.org/licenses/by-nc-sa/4.0/
Changements: Ce résumé a été créé avec l'aide de l'IA et peut contenir des inexactitudes. Pour obtenir des informations précises, veuillez vous référer aux documents sources originaux dont les liens figurent ici.
Merci à arxiv pour l'utilisation de son interopérabilité en libre accès.