一个新工具想要从供应链攻击中保存开源

2021-06-19 00:48:12

俄罗斯' S历史破坏性的Notpetya恶意软件攻击及其更新的Solarwinds Cyber​​espionage Campaign除了克里姆林宫之外还有一些共同之处:他们'重新软件供应链攻击的实际例子。它'术语是在黑客将恶意代码滑入可以传播的合法软件时会发生的事情。随着越来越多的供应链攻击出现,一个新的开源项目正在占领,采取立场,使一定的保障保障自由且易于实施。

Sigstore的创始人希望他们的平台将促使采用代码签名,这是软件供应链的重要保护,但流行和广泛使用的开源软件经常忽略一个重要的保护。开源开发人员Don' t始终拥有资源,时间,专业知识,或者在其下,以完全实现其需要构建的所有其他非现成组件的代码签名。

“直到大约一年半前,我觉得像疯狂的人站在角落里,一个标志说,'结束即将来临。”没有人理解这个问题,“开源软件供应链研究人员丹洛伦说:谷歌的工程师。 “但在过去的一年里,事情发生了很大变化。现在每个人都在谈论供应链安全,我们有一个关于它的行政命令,每个人都开始意识到开放的批判性是如何以及我们如何实际将一些资源建立在为每个人身上解决它的安全问题。“

Lorenc远非专注于保护开源项目或供应链挑战的唯一研究人员。但最近的高调黑客产生的主流关注为工作Lorenc提供了全新的热情,他的合作者已经正在进行中。

要了解Sigstore'对于您的意义,您需要有一种代码签名的感觉。想想它就像在古代时间交付的战斗订单一样。将军将认识到皇家抄写员的手写,负责人的签名,以及信封上的详细蜡封,而仔细审查的页面网络在受控的监管链中发出消息。该系统的工作原因是非常困难 - 尽管对外部实体来说是完全不可能渗透过程,复制至关重要的元素,并绕过所有这些完整性检查。

加密代码签名也是如此。您可以' t只是弥补了一个Windows Update并将其分发给您最亲密的朋友或敌人。只有微软可以做到这一点,除非有些东西出错了。它的一个原因它与微软以外的任何人挑战,以向Windows笔记本电脑发送更新,是软件需要在合适的时间被正确的创建者“签名”。它'他的John Hancock和数字时代的蜡印章。

你可以看出为什么赌注是如此之高,因为古老的战斗和现代软件。如果有人可以发送流氓订单或更新,他们可以逐步逐步逐步削减数十亿台计算机。代码签名的好处是明确的,但获取业余爱好者,志愿者和其他开源贡献者将其加入它需要一个低障碍。

“这些是将整个世界基础设施面临风险的巨大问题,”企业开源软件公司Redhat的首席建筑师Bob Callaway说。 “这肯定不是一个可以解决一切的灵丹妙药,但它将使人们能够真正使用已经长时间的最佳实践和加密技术并使释放更加安全。”

与Linux基金会相关的SigStore,目前由谷歌,Red Hat和Purdue大学领导,结合了两个组件。首先,它为其用户协调复杂的加密;它甚至可以选择可以为可以' t或don' t想要承担额外的工作的开发人员来解决方案。通过使用像电子邮件地址等第三方登录系统使用的已建立的,预先存在的标识符,如使用Google登录或使用Facebook登录,您可以快速启动加密签名代码,您可以在某个时间内完成。其次,SigStore自动生成所有活动的公共,不变的开源日志。这为每份提交的公共问责制,如果某些事情是出错的话,可以开始调查。

“2019年左右,我正在与Redhat的Luke Hinds与Luke Hinds谈话,如果我们可以基本上是软件供应链中发生的一切的纸张跟踪,那么透明度日志的一切纸跟踪,我说不会很酷,”Santiago Torres-Arias说是普渡大学的供应链研究员。 “然后他消失了几个月。然后他用原型回来了。“

纽约大学的星期五,Lorenc,Torres-Arias,Callaway,Hinds和Secure Softice Distronse研究员滨海摩尔码头将全部参加公共加密仪式成为奇特氏乐的祖先钥匙员。它们' ll生成和加载加密密钥,基本上密码,在安全的拇指驱动器上仍将其占有四个月。之后,钥匙将在另一个仪式上旋转到其他持有人 - 以思考思考一个中立社区项目的目标。系统的任何更改都需要三个关键符的存在。这为所有开发项目建立了一个“信任的根源”,这些项目将能够采用SIGSTORE继续前进。

“它'绝对令人恐惧,令人兴奋,”米莫说。 “这是一个支持整个系统安全性的五个键之一。如果一切都很好,我' ll只是把它锁在一个安全四个月,但它'肯定是我一直在想的东西。“

SIGSTORE需要被广泛采用成功。但随着供应链攻击迫在眉睫,作为越来越多的主流关注,五个键主表示他们认为,易于和自由的东西真的有可能起飞。一个类似的项目,称为Let' s加密对网站发出免费加密证书,并且在全球努力加密绝大多数Web流量的努力中是一个巨大的驱动程序。迄今为止,它已向超过260万个网站发出证书。

一个原因是开源安全性如此复杂,是它' s'很容易从网上的各种项目中获取代码,并将其与其他软件合并到开放和专有的其他软件中。这创造了一个供应链噩梦,因为即使他们逃离了一些开源项目也被广泛使用,而且甚至完全被遗弃了。代码签名肯定没有解决每个问题,即使开发人员签署代码,也可能发生供应链黑客。但是,给出了那些攻击的复杂程度如何,任何项目都没有签署的基本保护,如签名,以真正的风险。

至于星期五'首要仪式,该活动增加了一个通常在大公司或机构的封闭门后面完成的过程的透明度。 虽然前五个键主只有在Sigstore&#39的删除月份的责任中只承担责任,但如果该项目为众多高调项目提供了代码签名基础,那么有一天可能会导致更多的重力。 “你知道,我还没有真正沉默的是我们是否将被詹姆斯债券类型追捕,”红帽'我的后人说是一个关键的持有人。 “谁知道,让我们看看我们有多大。" 🏃🏽♀️希望最好的工具健康? 查看我们的齿轮队的选择,以获得最佳健身跟踪器,运行齿轮(包括鞋子和袜子)和最好的耳机