Quête de transparence : le monde de la technologie est confronté au défi urgent de sécuriser la chaîne d’approvisionnement des logiciels

Il y a près de deux ans, Allan Friedman, directeur des initiatives de cybersécurité à la National Telecommunications and Information Administration des États-Unis, a posé une question clé. Si les consommateurs peuvent lire les ingrédients sur une boîte de Twinkies, alors pourquoi les fabricants de logiciels, dont les produits exécutent les systèmes les plus percutants de la planète, ne peuvent-ils pas fournir une nomenclature détaillant les éléments à l’intérieur ?

La question de Friedman est devenue particulièrement pertinente au cours des deux dernières années, car les hacks de grande envergure de la chaîne d’approvisionnement logicielle et les exploits de vulnérabilités dans les outils open source ont défié la communauté de la cybersécurité.

Quelle est la gravité de la situation ? Les failles dans la chaîne d’approvisionnement du logiciel SolarWinds et de la bibliothèque de journalisation Java Log4j étaient suffisamment importantes. Pourtant, ce qui est peut-être plus troublant, c’est la marée montante des vulnérabilités.

Fin décembre, Redscan Cyber ​​Security Ltd. a publié une analyse de la National Vulnerability Database, ou NVD, qui est gérée par le National Institute of Standards and Technology. Le rapport a révélé que 2021 a été une année record pour les expositions enregistrées par les chercheurs en sécurité. Plus de 50 vulnérabilités et expositions courantes, appelées CVE, sont désormais enregistrées chaque jour.

De tels chiffres devraient inciter la communauté des entreprises à appliquer des correctifs, et encore plus. Cependant, plus des deux tiers des entreprises mondiales continuent d’utiliser des logiciels avec la faille WannaCry, qui a été découverte il y a cinq ans.

Tout cela a amené un examen plus approfondi de la chaîne d’approvisionnement des logiciels, où les pirates ont trouvé un terrain de jeu et l’open source joue un rôle essentiel.

« C’est un sujet brûlant, la sécurisation des chaînes d’approvisionnement », a déclaré Luke Hinds, responsable de l’ingénierie de la sécurité, Bureau du CTO, chez Red Hat Inc., lors d’un entretien avec SiliconANGLE. « Et nous commençons également à voir une augmentation des attaques. Il y a une statistique récente qui est sortie… une augmentation de 620% depuis l’année dernière des attaques de la chaîne d’approvisionnement impliquant l’écosystème open-source. Donc, les choses s’accélèrent certainement.

SBOM et builds reproductibles

Alors que les chiffres offrent une évaluation sobre d’un paysage de menaces en expansion, la communauté des logiciels n’a pas tiré les couvertures sur sa tête et a ignoré le problème. Un ensemble d’entreprises privées et de mainteneurs open source ont travaillé activement sur un certain nombre de solutions susceptibles de faire la différence pour la sécurité au sein de l’écosystème logiciel complexe.

Un point de départ a été de résoudre l’énigme des « Twinkies » et de fournir une plus grande transparence dans la composition et la gestion des logiciels. Cela implique une évolution concertée vers la nomenclature logicielle, ou SBOM.

Le besoin de SBOM a été reconnu bien avant que les failles dans la chaîne d’approvisionnement des logiciels ne commencent à faire la une des journaux. En 2017, l’Open Web Application Security Project a développé la norme CycloneDX en tant que cadre de prise en charge d’une nomenclature logicielle. Un certain nombre d’outils d’analyse de la composition logicielle sont également devenus plus importants au cours de l’année écoulée, notamment FossID, qui a été acquis par Snyk Inc. en 2021, et BlackBerry Jarvis, qui a été présenté en janvier au Consumer Electronics Show.

La Fondation Linux a été à l’avant-garde de deux initiatives clés pour fournir un niveau de transparence plus élevé dans la composition des logiciels de l’industrie. L’un est le Software Package Data Exchange, ou SPDX, un format de fichier qui communique les informations de métadonnées logicielles tout au long de la chaîne d’approvisionnement. En septembre, SPDX est devenu la norme internationalement reconnue pour les SBOM et est actuellement utilisé par Intel, Microsoft et VMware Inc.

En plus de fournir un support pour la nomenclature logicielle, la Linux Foundation a financé le travail d’un projet appelé Reproductible Builds. Le concept derrière cela est de produire un processus vérifié où les organisations développent une application à partir du code source et confirment que les résultats proviennent du même code.

« Il y a beaucoup de logiciels qui doivent être reproductibles, y compris les packages de système d’exploitation et les packages au niveau de la bibliothèque », a expliqué David Wheeler, directeur de la sécurité de la chaîne d’approvisionnement open source à la Linux Foundation, dans un article de blog. « Ceci ne sera pas facile. »

Signature et vérification

Le processus de vérification de la provenance du logiciel est une autre pièce du puzzle de la chaîne d’approvisionnement. Une solution est le projet Sigstore, qui automatise la signature numérique et la vérification des éléments logiciels.

Sigstore a été à l’origine prototypé chez Red Hat et constitue la pierre angulaire de la stratégie de confiance et de sécurité de la chaîne d’approvisionnement de l’entreprise. Le projet faisait partie des outils discutés lors d’une réunion des leaders de l’industrie technologique à la Maison Blanche qui a été convoquée en janvier pour discuter de la sécurité de la chaîne d’approvisionnement des logiciels. Parmi les participants figuraient des dirigeants d’Apple, d’IBM, de Google, d’Oracle et de Red Hat.

La violation de SolarWinds a été un signal d’alarme majeur pour la communauté des logiciels afin de mettre davantage l’accent sur le besoin de transparence et d’intégrité. Pour cette raison, il convient de noter ce que Red Hat a fait depuis. Plus d’un an après l’annonce de la nouvelle selon laquelle des acteurs russes ont réussi à infiltrer une mise à jour d’un outil de sécurité clé de SolarWinds, la société a réagi en adoptant l’open source comme moyen d’améliorer la transparence de la chaîne d’approvisionnement en logiciels. Un exemple de ceci peut être trouvé dans son utilisation récente des chaînes Tekton.

Tekton est un projet open source qui a évolué à partir d’une initiative interne de Google pour utiliser Knative pour le déploiement de logiciels. Il a été créé en tant que projet indépendant et donné à la Fondation de livraison continue en 2019. Les chaînes Tekton sont un sous-système de sécurité du pipeline Kubernetes Tekton CI/CD. La technologie capture des métadonnées sur les exécutions PipelineRun et TaskRun, qui peuvent ensuite être utilisées pour l’analyse. L’offre OpenShift Pipelines de Red Hat est basée sur Tekton et est utilisée pour alimenter des solutions pour une grande variété de clients, y compris le fournisseur de services blockchain BSS Oman.

Un développement supplémentaire dans l’utilisation de Tekton pour la sécurité de la chaîne d’approvisionnement mérite d’être observé. Cinq des employés de Google responsables de la création de Tekton sont partis pour créer leur propre entreprise, Chainguard Inc., qui se concentre sur la sécurité de la chaîne d’approvisionnement logicielle et a récemment levé 5 millions de dollars en financement de démarrage.

Attestation de charge de travail

Les technologies open source contribuent aux initiatives de sécurité de la chaîne d’approvisionnement logicielle par une autre voie, et cela implique l’identité de la charge de travail. Deux projets d’incubation open source au sein de la Cloud Native Computing Foundation ciblent l’identification sécurisée des systèmes logiciels dans des environnements de charge de travail dynamiques.

Secure Protection Identity Framework for Everyone, ou SPIFFE, est conçu pour authentifier en toute sécurité la communication des microservices avec des bases de données ou des plates-formes communes. Son compagnon est l’environnement d’exécution SPIFFE, ou SPIRE, qui gère l’attestation de plate-forme ou de charge de travail. Les deux projets CNCF sont déjà utilisés dans des entreprises telles que Bloomberg Inc., Uber Inc., Google, Hewlett Packard Enterprise Co., Intel et IBM.

La profondeur des solutions technologiques impliquées dans la sécurisation de la chaîne d’approvisionnement logicielle met en évidence un développement clé dans la saga de la cybersécurité elle-même. La dépendance de la société vis-à-vis du cloud et de son réseau complexe de dépendances a fait monter les enchères en matière de protection. Lorsque la chaîne d’approvisionnement en logiciels devient vulnérable aux attaques, les gens s’assoient et le remarquent, ce qui motive la réponse concertée de la communauté technologique pour trouver une solution viable.

« La chaîne d’approvisionnement, c’est une infrastructure essentielle », a déclaré Red Hat’s Hinds. «Nous comptons sur ces systèmes chaque matin à notre réveil, nos services d’urgence, nos forces de police dépendent de ces chaînes d’approvisionnement. Il y a une vision plus large ici, car une attaque de la chaîne d’approvisionnement peut aller très loin au cœur de notre société. »

Image: fran_kie Montrez votre soutien à notre mission en rejoignant notre Cube Club et notre communauté d’experts Cube Event. Rejoignez la communauté qui comprend Amazon Web Services et le PDG d’Amazon.com Andy Jassy, ​​le fondateur et PDG de Dell Technologies Michael Dell, le PDG d’Intel Pat Gelsinger et bien d’autres sommités et experts. .