O que vem por aí para empresas baseadas em código aberto?
18 de abril de 2024
Os sinais acabaram de reagir?
18 de abril de 2024
O governo federal e a Open Source Security Foundation (OpenSSF) estão lançando uma ferramenta de código aberto que esperam facilitar ao setor privado e às agências governamentais a adoção e o uso de listas de materiais de software (SBOMs), um componente-chave na resistindo à onda crescente de ataques à cadeia de fornecimento de software.
Pressão da administração Biden após o hack de alto perfil na SolarWinds em 2020 – inclusive por meio de sua Ordem Executiva de Segurança Cibernética de 2021 – a perigosa vulnerabilidade na ferramenta de registro Apache Log4j um ano depois e a exploração massiva da transferência de arquivos MOVEit da Progress Software A ferramenta no ano passado ajudou a acelerar a adoção empresarial dos SBOMs, com três quartos das organizações nos Estados Unidos e no Reino Unido desde que os implementaram, de acordo com um relatório da Sonatype, um fornecedor de software de otimização da cadeia de suprimentos.
Além disso, 92% das grandes empresas adotaram SBOMs ou planeiam fazê-lo, concluiu o relatório.
Também alimentou os esforços dos fornecedores de TI para implementar uma miríade de formatos de dados SBOM e esquemas de identificação, criando um mercado fragmentado que torna difícil para as organizações classificarem todas as suas opções, de acordo com a OpenSSF, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA). e um escritório dentro do Departamento de Segurança Interna (DHS).
Apresentando o Protobom
As três organizações – que incluem a Diretoria de Ciência e Tecnologia (S&T) do DHS – lançaram esta semana o Protobom, uma oferta de código aberto que pode ser integrada a aplicativos comerciais e de código aberto para permitir que administradores de sistema e desenvolvedores gerem, leiam e gerem de maneira mais fácil e barata. e traduzir SBOMs em vários formatos de dados.
A capacidade do Protobom de gerenciar vários formatos de dados ajuda a impulsionar a interoperabilidade, e os recursos de integração significam que os aplicativos podem vincular informações SBOM com informações externas sobre vulnerabilidades de segurança de software e dados de gravidade de múltiplas fontes públicas, dando aos usuários acesso a informações em tempo real sobre patches e estratégias de mitigação. , disseram as organizações.
O Protobom será hospedado pelo OpenSSF.
“O Protobom não apenas simplifica a criação do SBOM, mas também capacita as organizações a gerenciar proativamente o risco de suas dependências de código aberto”, disse Omkhar Arasaratnam, gerente geral do OpenSSF, em comunicado. “A segurança do software de código aberto requer uma parceria entre o setor público, o setor privado e a comunidade.”
Allan Friedman, consultor sênior e estrategista da CISA, classificou as vulnerabilidades de software como um risco importante a ser explorado por malfeitores.
“Ao aproveitar os SBOMs como elementos-chave da segurança de software, podemos mitigar o risco para a cadeia de fornecimento de software e responder a novos riscos de forma mais rápida e eficiente”, disse Friedman em comunicado. “O Protobom é um passo em direção a uma maior eficiência e interoperabilidade ao traduzir os formatos amplamente utilizados para que as ferramentas e as organizações possam se concentrar no que é importante.”
Tanto o governo federal quanto o OpenSSF impulsionaram a adoção de SBOMs. O OpenSSF lançou há dois anos seu “Plano de Mobilização de Software de Código Aberto”, com um de seus 10 itens de ação intitulado “SBOMs Everywhere”. O ponto central do plano é fazer com que os projetos de OSS forneçam SBOMs precisos aos usuários em cada versão de seu software.
A Protobom surgiu de um programa de colaboração financiado pela CISA e DHS no ano passado que incluiu sete startups, como Chainguard, AppCensus, Manifest Cyber e Scribe Security. Melissa Oh, diretora-gerente do SVIP do Programa de Inovação do Vale do Silício (SVIP), disse na época que “o DHS está recorrendo à comunidade de startups para desenvolver tecnologia que irá iluminar os riscos nas cadeias de fornecimento e reforçar a segurança cibernética geral das organizações. “
Riscos num espaço de desenvolvimento em mudança
A rápida evolução no campo do desenvolvimento de software está a impulsionar a necessidade de SBOMs e outras ferramentas para proteger a cadeia de abastecimento. Os desenvolvedores estão aumentando o uso de software de código aberto e componentes de software reutilizáveis e usando contribuições de diversas fontes. Além disso, o ritmo de lançamento de código está acelerando e os pipelines de integração contínua e entrega contínua (CI/CD) estão aumentando a complexidade crescente do desenvolvimento de software.
Esses fatores também tornam a cadeia de fornecimento de software um alvo atraente para grupos ameaçadores. De acordo com o relatório da Sonatype, esses ataques cresceram em média 742% a cada ano entre 2019 e 2023.
John Bambenek, presidente da Bambenek Consulting, disse ao The New Stack que os SBOMs são uma “peça importante do quebra-cabeça” quando se trata de proteger a cadeia de fornecimento de software. Se as equipes de segurança não souberem que possuem uma vulnerabilidade, não poderão se proteger contra a ameaça.
“A chave para fazer com que as organizações usem SBOMs é fornecer-lhes as ferramentas para facilitar a criação de um SBOM em um formato normalizado, para que as ferramentas de gerenciamento de vulnerabilidades possam ingeri-lo para que as equipes de segurança possam tomar as ações apropriadas”, disse ele.
No entanto, o facto de o governo dos EUA ser o principal impulsionador do esforço do Protobom poderá tornar mais difícil a sua adopção global.
“Outras partes do mundo tendem a reagir com cepticismo sempre que o governo dos Estados Unidos promove uma agenda”, disse Bambenek. “O ceticismo também não é totalmente sem causa. Por exemplo, é difícil ver que países que têm uma visão antagónica dos Estados Unidos estariam dispostos a adoptar estas ferramentas e programas.”
Dito isso, os pesquisadores da Sonatype observaram em seu relatório que incidentes como os envolvendo SolarWinds e Log4j – e provavelmente a reação da administração Biden – podem ter levado outros países amigos a reagir, observando o anúncio da União Europeia de sua proposta de Lei de Resiliência Cibernética em 2022 e o Reino Unido, um ano depois, publicando seu “Chamada para Opiniões sobre Resiliência e Segurança de Software para Empresas e Organizações.
Ambas as ações enfatizam os SBOMs, bem como outras práticas de segurança da cadeia de abastecimento, escreveram.
A postagem Protobom: pavimentando o caminho para a adoção do SBOM apareceu pela primeira vez no The New Stack.
