JFrog和行业领袖参加白宫开源软件安全峰会
Log4j、SpringShell和其他零日漏洞引起了政府和科技行业的关注
毫无疑问,数量,复杂程度和严重性软件供应链攻击去年增加了。近几个月来JFrog安全研究团队追踪了近20种不同的开源软件供应链攻击——其中两种是零日威胁。这种漏洞和恶意包的持续攻击,正促使开源领袖和更广泛的技术社区与拜登政府、国家安全组织和美国联邦机构共同制定行动计划,以最佳地应对这些攻击。
发生在同一周拜登政府行政命令一周年在美国,白宫主办了第二部分开源软件安全峰会,5月12 - 13日2022年,与最初的峰会参与者举行。的跟进1月13日的会议来自37家公司的90名高管参加了此次活动,其中包括我们在Linux基金会的合作伙伴JFrog和他们的开源安全基金会(OSSF)。会议的目标是确定挑战,并就如何增强开放源码软件的弹性分享想法,然后就一项协议达成一致行动计划巩固开源软件供应链安全。
适应新的现实
而开源一直被视为现代化的种子,最近软件供应链攻击的兴起证明了验证开源存储库需要更严格的过程。让开源变得复杂的是,微服务和容器隐藏在软件的更深处。所有这些设计都是为了使开发更快、更有效,但这也带来了漏洞。例如,容器是运输应用程序的好工具,但不幸的是,它们也使隐藏内容变得容易。
因此,在JFrog,我们相信只有给OSS项目提供企业可用的相同工具和服务,开源安全才会成功。对于开源项目,访问自动化工具和高质量的安全数据库是必不可少的,JFrog致力于帮助实现这一点。
在上周的OSS安全峰会上,我们JFrog认为有两个讨论领域特别重要:
- soms是为开源供应链漏洞提供透明度的最关键部分之一。今天的挑战是建立一个端到端的SBOM就像不稳定地堆叠手工建造的层层叠乐塔,易受变化的影响。为了取得成功,标准和工具需要自动化,并像堆叠中的乐高积木一样进行组合,以便他们旨在寻找的安全元素可以无缝集成。例如,从构建和中提取信息CI / CD系统,JFrog是开源的建立信息它是一个命令行工具,可以自动从各种语言和构建工具的构建输出中提取SBOM信息。sbaum不应该再是一个美好的拥有,而是一个必须拥有的。
作为指定的CNA, JFrog安全研究团队不断监控开源软件库中的恶意软件包,这些软件包可能导致广泛的软件供应链攻击,并相应地向社区发出警报。因此,我们知道软件存储库有多脆弱。对现有的中央存储库进行加固是必要的,但还不足以确保软件供应链的安全。我们相信开源软件社区需要这样做建立一个分散的包管理系统它只分发独立构建和验证的二进制文件。
JFrog很自豪能与Linux基金会和OpenSSF的其他安全软件成员合作,设计一套技术、流程、认证和政策,以帮助保护我们国家的关键基础设施,同时培育开源软件的核心原则之一——创新。
上周的峰会是朝着制定大纲迈出的引人注目的一步达成一致的行动计划10个计划的综合组合,可以立即解决强化软件供应链的三个基本目标:
- 确保开放源码安全生产
- 改进漏洞发现和修复,以及
- 缩短生态系统补丁响应时间
我们鼓励您看一看这份报告,并让我们知道您的想法。
看看媒体是如何评价白宫开源软件安全峰会的:
- “开源软件(OSS)的维护者将为他们自己的项目获得额外的安全工具,而使用OSS的开发人员——大约97%的软件都是这样——将获得更多的安全数据。”——罗伯特•Lemos黑暗的阅读
- “保护开源软件供应链是一件大事。去年,拜登政府发布了一份提高软件供应链安全的行政命令.这是在殖民管道勒索软件攻击关闭了整个东南部的天然气和石油供应太阳风软件供应链攻击.保护软件安全成为当务之急。”- - - - - -史蒂文Vaughan-Nichols,ZDnet
- “最终,对软件供应链安全的大量关注将推动DevSecOps最佳实践的采用……事实上,对更安全软件的需求可能会加速向容器的转变,因为它们比单片应用程序更容易被破坏和替换,而单片应用程序的补丁更具挑战性,Stephen Chin指出。”-迈克面颊,安全大道
- 在他们的计划中,Linux基金会和OpenSSF表示,多个行业已经将SBOM确定为解决开源安全问题的基本构建模块。但要适当地应对这一挑战,soms的采用必须广泛、标准化和准确。“通过关注工具和宣传,我们可以消除在各地产生、使用和全面采用soms的障碍。我们可以改善整个开源生态系统的安全态势:生产者、消费者和维护者。- - - - - -布莱恩·佩雷拉,GovInfoSecurity
