Rafforzare la Sicurezza della Fornitura di Software: Riflessioni dal Summit
Esperti discutono delle sfide e delle strategie per la sicurezza della supply chain software in un summit recente.
― 7 leggere min
Indice
Negli ultimi anni, ci sono stati aumenti negli attacchi informatici che prendono di mira i sistemi software, soprattutto quelli meno sicuri. Questi attacchi possono causare danni significativi a imprese e organizzazioni. Due esempi notabili sono gli incidenti di SolarWinds e log4j, che hanno colpito migliaia di clienti. Ora sia il governo statunitense che i leader del settore si stanno concentrando sul miglioramento della sicurezza delle catene di fornitura software. Questo articolo riassume un recente summit dove esperti hanno discusso vari aspetti della sicurezza delle catene di fornitura software.
Panoramica del Summit
Il 30 settembre 2022, si è tenuto un summit con 19 professionisti del settore provenienti da 17 aziende diverse. Lo scopo del summit era condividere esperienze e identificare sfide relative alla sicurezza della catena di fornitura software. Le discussioni si sono svolte in un piccolo gruppo per incoraggiare una comunicazione aperta. I partecipanti includevano rappresentanti di grandi corporation, aziende di medie dimensioni e una fondazione software.
Formato del Summit
Il summit ha presentato una presentazione principale e sei discussioni di panel. Prima dell'evento, i partecipanti hanno completato un sondaggio per selezionare gli argomenti di discussione. Ogni panel è durato 45 minuti, iniziando con quattro relatori che avrebbero fornito brevi dichiarazioni. Il resto del tempo è stato dedicato alla discussione del tema in gruppo. Sono state prese note durante le discussioni, che sono state poi riassunte in questo articolo.
Ordine Esecutivo
Uno dei temi chiave della discussione è stato l'Ordine Esecutivo 14028, emesso il 12 maggio 2021. Questo ordine richiede alle organizzazioni che forniscono software critico al governo statunitense di migliorare la sicurezza del loro software e della sua catena di fornitura. Molte organizzazioni dovranno modificare i loro processi interni per conformarsi a questi requisiti.
Alcuni partecipanti del summit avevano precedentemente incontrato agenzie governative per contribuire a plasmare l'ordine e chiarire i requisiti. Anche se alcune organizzazioni seguono già pratiche in linea con l'ordine, altre hanno espresso preoccupazioni riguardo alla conformità, soprattutto le aziende più piccole che potrebbero non avere risorse. Ci sono state discussioni su come l'ordine potrebbe richiedere agli sviluppatori di modificare le loro abitudini lavorative e i processi che seguono.
Domande Aperte
Una domanda chiave sollevata durante questo panel era quali sarebbero state le conseguenze di non conformarsi all'ordine. I partecipanti si sono chiesti se l'ordine avrebbe creato problemi legali per le organizzazioni che non rispettano le disposizioni.
Software Bill Of Materials (SBOM)
Un altro tema importante affrontato è stato il Software Bill of Materials (SBOM). Un SBOM è essenzialmente un elenco dei componenti che compongono un prodotto software. Aiuta le organizzazioni a tenere traccia degli elementi di terze parti e a gestire le vulnerabilità. Secondo l'Ordine Esecutivo, le aziende che vendono software al governo federale devono fornire un SBOM completo.
Vantaggi per Produttori e Consumatori
Le discussioni si sono concentrate sui vantaggi degli SBOM per produttori e consumatori di software. I produttori possono creare fiducia con i clienti fornendo informazioni chiare sui loro prodotti. I consumatori traggono vantaggio dal guadagnare insight sui possibili rischi associati alle vulnerabilità.
I partecipanti hanno sottolineato l'importanza di avere strumenti robusti per gestire gli SBOM. Anche se la produzione di SBOM è diventata più avanzata, consumarli in modo efficace è ancora una sfida. Alcuni partecipanti hanno espresso dubbi sulla affidabilità degli SBOM di prima generazione e sulla necessità di controlli regolari.
Domande Aperte
Alcuni problemi irrisolti includevano se i gestori di pacchetti dovrebbero essere aggiornati per produrre SBOM e cosa intende fare il governo con gli SBOM che riceve.
Dipendenze vulnerabili
Il software spesso si basa su componenti di terze parti noti come dipendenze per aggiungere funzionalità. Tuttavia, queste dipendenze possono introdurre complessità e potenziali vulnerabilità. Quando si verifica un problema di sicurezza in una dipendenza, è fondamentale che le organizzazioni aggiornino rapidamente alla versione più recente.
Processi e Sfide
I partecipanti al summit hanno discusso vari metodi per identificare e affrontare le vulnerabilità nelle dipendenze. Esistono strumenti per scansionare queste vulnerabilità, ma la quantità può essere opprimente. Una volta identificate le vulnerabilità, i professionisti spesso faticano a tenere il passo con gli aggiornamenti, poiché nuovi problemi sorgono frequentemente.
Mentre alcuni strumenti possono applicare patch automaticamente alle dipendenze, molte organizzazioni trovano questo approccio poco pratico. Gli sviluppatori devono rivedere manualmente questi aggiornamenti, il che può portare a ritardi. C'è anche spesso confusione su come determinare la versione giusta da utilizzare.
Domande Aperte
I partecipanti hanno considerato domande sulle migliori pratiche per gestire gli aggiornamenti delle dipendenze, se applicare diversi livelli di revisione per gli aggiornamenti e il modo migliore per attribuire la responsabilità della gestione delle dipendenze.
Rilevamento di Commit Maliziosi
Attori malintenzionati possono iniettare modifiche dannose nei progetti software attraverso commit non autorizzati. Individuare queste modifiche maligne è difficile, poiché gli attaccanti cercano spesso di nascondere le loro azioni.
Strategie di Rilevamento
I partecipanti hanno discusso modi per identificare comportamenti sospetti esaminando le attività di un committente. Schemi di cambiamenti grandi o insoliti possono segnalare potenziali problemi. L'apprendimento automatico potrebbe aiutare a creare strumenti per rilevare comportamenti malevoli, anche se analizzare questo tipo di attività può essere complicato.
Diversi professionisti hanno notato la sfida nel distinguere tra errori innocenti e codice intenzionalmente dannoso. Nuovi framework di sicurezza stanno venendo introdotti che richiedono una maggiore attenzione a vari stadi del processo di sviluppo software.
Domande Aperte
Le domande chiave sollevate includevano come bilanciare le misure di sicurezza con le esigenze degli sviluppatori di efficienza, specialmente in situazioni urgenti.
Processi Sicuri di Build e Deploy
Le pratiche sicure di build e deploy sono cruciali per garantire che il software sia sviluppato e lanciato in modo sicuro. Le pratiche includono la creazione di ambienti sicuri e il tracciamento accurato delle modifiche.
Pratiche Correnti
La maggior parte dei partecipanti ha riferito di sentirsi a proprio agio con il processo di deployment, ma ha espresso preoccupazioni riguardo all'aspetto della build. Molti utilizzano strumenti di registrazione e monitoraggio per tenere traccia delle attività e garantire trasparenza. Alcune organizzazioni collaborano con auditor di terze parti per maggiore sicurezza.
Il summit ha evidenziato la necessità di una migliore separazione dei diritti di accesso per mantenere la sicurezza. Anche se c'è consapevolezza di vari framework come SLSA per guida, i partecipanti hanno indicato che hanno ancora bisogno di più tempo per l'implementazione.
Build riproducibili
Le build riproducibili assicurano che il software possa essere costruito in modo coerente, così il prodotto finale è identico ogni volta. Questa pratica aiuta a verificare che una build non sia stata manomessa.
Sfide all'Implementazione
Anche se molti professionisti supportano l'idea delle build riproducibili, hanno anche sottolineato gli ostacoli per raggiungere questo obiettivo. In alcuni casi, i linguaggi di programmazione possono complicare il processo a causa della casualità nei dati. Altri hanno sollevato preoccupazioni riguardo all'impatto ambientale di costruire software più volte.
Domande Aperte
Rimangono domande su alternative alle build riproducibili e su come possano essere utilizzate per identificare eventuali manomissioni.
Standard e Linee Guida
Esistono vari standard e framework per guidare le organizzazioni nel miglioramento della sicurezza della catena di fornitura software. Uno dei framework più noti è SLSA, che fornisce un elenco di controlli per prevenire manomissioni e migliorare l'integrità del software.
Adozione degli Standard
La maggior parte dei partecipanti al summit sta lavorando per livelli di conformità più elevati al framework SLSA. Tuttavia, hanno anche notato la necessità di una guida più chiara su alcuni aspetti e supporto per l'implementazione di questi standard.
Sono state sollevate preoccupazioni sulla capacità di dimostrare la conformità a questi standard, specialmente per le organizzazioni più piccole. Alcuni partecipanti hanno espresso dubbi sulla capacità del governo di stabilire gli standard giusti.
Conclusione
Il summit ha fornito preziosi approfondimenti sullo stato attuale della sicurezza della catena di fornitura software. I partecipanti hanno espresso preoccupazioni riguardo alla conformità con l'Ordine Esecutivo, alle sfide nella gestione delle dipendenze e alle questioni relative agli SBOM. C'è stata anche una riconoscimento condiviso dell'importanza di forti pratiche di sicurezza nel rilevamento di azioni malevole e nel garantire build e deployment sicuri. Le discussioni hanno evidenziato la necessità di una collaborazione continua e dello sviluppo di strumenti e framework migliori nel campo della sicurezza software.
Titolo: S3C2 Summit 2202-09: Industry Secure Suppy Chain Summit
Estratto: Recent years have shown increased cyber attacks targeting less secure elements in the software supply chain and causing fatal damage to businesses and organizations. Past well-known examples of software supply chain attacks are the SolarWinds or log4j incidents that have affected thousands of customers and businesses. The US government and industry are equally interested in enhancing software supply chain security. We conducted six panel discussions with a diverse set of 19 practitioners from industry. We asked them open-ended questions regarding SBOMs, vulnerable dependencies, malicious commits, build and deploy, the Executive Order, and standards compliance. The goal of this summit was to enable open discussions, mutual sharing, and shedding light on common challenges that industry practitioners with practical experience face when securing their software supply chain. This paper summarizes the summit held on September 30, 2022.
Autori: Mindy Tran, Yasemin Acar, Michel Cucker, William Enck, Alexandros Kapravelos, Christian Kastner, Laurie Williams
Ultimo aggiornamento: 2023-07-28 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2307.15642
Fonte PDF: https://arxiv.org/pdf/2307.15642
Licenza: https://creativecommons.org/licenses/by-nc-sa/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.