套件儲存庫遭駭引發軟體供應鏈安全風險事件愈來愈普遍,開源軟體基金會(OpenSSF)本周公布套件儲存庫安全原則(Principles for Package Repository Security),供開發人員評估套件庫的安全性。
套件儲存庫安全原則是一個套件安全性評估框架,以協助開發人員評估並提升套件安全性。本框架是美國網路安全與基礎架構安全管理署(Cybersecurity and Infrastructure Security Agency,CISA)及OpenSSF確保軟體儲存庫工作小組的合作成果。CISA去年9月公布開源碼軟體安全藍圖,以提升套件管理員軟體的安全性為首要任務。
開源碼套件廣為企業組織使用,濫用開源碼相依性可能透過軟體供應鏈影響廣大用戶,因此套件儲存庫是強化開源生態圈安全性、防範攻擊風險的關鍵。一個簡單的安全措施,像是具備帳號發現政策,都有助於提升整體安全性。但另一方面,許多套件儲存庫維護單位,都是資源拮据的非營利組織,想提升安全性力不從心。
套件儲存庫安全原則即是提供給這些套件庫維護單位的資源。該框架是在現有安全原則如Python的Packaging Fundable Improvements之上,結合多個套件儲存庫平臺的建議發展而成。本框架針對套件儲存庫4種能力定義4層級安全成熟度。4類能力包括驗證(authentication)、授權(authorization)、一般能力,以及指令行介面(command-line interface,CLI)工具。套件儲存庫營運平臺可依此自評安全成熟度,並制訂長期改善計畫。
OpenSSF建議套件儲存庫平臺可透過本框架實作套件的安全強化規定。一般流程是,儲存庫決定需強化的安全能力,為其撰寫社群審查和許可草案,使其成為套件平臺上的運作基本原則,除非有資金籌措問題。OpenSSF希望本框架能奠定基礎,使套件儲存庫平臺自行發展安全強化的長期計畫。
OpenSSF也鼓勵套件儲存庫善用產學界的資金資源加速草擬安全強化規定。像是OpenSSF的Alpha-Omega已支援Rust、Python軟體基金會、Homebrew,而Sovereign科技基金也曾資助RubyGems及Python Package Index。
OpenSFF強調這框架並非強制性規定,此外,也歡迎更多組織對框架提供反饋意見。
熱門新聞
2024-12-08
2024-12-10
2024-12-10
2024-12-10
2024-12-10
2024-11-29