
L’importanza del software open source e le sfide della sicurezza
Il software open source costituisce il fondamento del panorama digitale odierno, rappresentando ben il 77% di tutte le applicazioni e con un valore di oltre 12 trilioni di dollari. Nonostante i significativi vantaggi in termini di disponibilità e collaborazione tra comunità, la sua crescente diffusione ha attratto attacchi alla supply chain sempre più sofisticati. Questi incidenti possono minare la fiducia, causando riluttanza sia tra gli sviluppatori che tra gli utenti a utilizzare soluzioni open source.
Recenti vulnerabilità della catena di fornitura
Gli attacchi alla supply chain comportano l’iniezione di malware in componenti software affidabili. Tra i recenti incidenti di alto profilo si segnalano:
- solana/webjs: un account npm compromesso ha introdotto una backdoor, consentendo agli aggressori di accedere e rubare le chiavi private delle criptovalute.
- tj-actions/changed-files: questa GitHub Action è stata contaminata, con conseguente fuga di segreti.
- xz-utils: è stata inserita una backdoor sofisticata che garantisce ai malintenzionati l’accesso remoto.
Iniziativa di ricostruzione OSS di Google
In risposta a queste preoccupazioni in materia di sicurezza, Google ha introdotto OSS Rebuild. Questo strumento consente agli sviluppatori di verificare l’integrità dei pacchetti open source riproducendo le loro build. Permette agli utenti di soddisfare i requisiti di livello 3 di Supply-chain Levels for Software Artifacts (SLSA) con un input minimo da parte dei responsabili della manutenzione, garantendo una registrazione affidabile della creazione di artefatti software.
La visione di Google per una maggiore trasparenza
“Il nostro obiettivo con OSS Rebuild è quello di consentire alla comunità della sicurezza di comprendere e controllare in modo approfondito le proprie supply chain, rendendo l’utilizzo dei pacchetti trasparente quanto l’utilizzo di un repository sorgente.”
Vantaggi della ricostruzione OSS
Il progetto OSS Rebuild presenta numerosi vantaggi pensati sia per i team di sicurezza che per i manutentori del software:
- Per i team di sicurezza: offre strumenti per identificare codice sorgente non inviato, individuare ambienti di build compromessi e rivelare backdoor nascoste. Inoltre, migliora la qualità dei metadati, ottimizza le distinte base del software (SBOM) e accelera gli sforzi di risposta alle vulnerabilità.
- Per i manutentori: l’iniziativa rafforza la fiducia nei pacchetti attraverso la verifica indipendente e consente di aggiornare i pacchetti storici con attestazioni di integrità. Attualmente, il progetto supporta vari ecosistemi, tra cui PyPI per Python, npm per JavaScript/TypeScript e Createsio per Rust, con piani per una più ampia integrazione dell’ecosistema.
Utilizzo di OSS Rebuild
Gli utenti possono sfruttare OSS Rebuild tramite la riga di comando per recuperare i dettagli sulla provenienza, esplorare le versioni dei pacchetti ricostruiti ed eseguire in modo efficiente le ricostruzioni dei pacchetti.
Fonte dell’immagine: Depositphotos.com
Lascia un commento