A Sucursal de Segurança Cibernética e de Infraestrutura dos EUA (CISA) anunciou que está fazendo parceria com o Grupo de Trabalho de Segurança de Repositórios de Software da Open Source Security Foundation (OpenSSF) para publicar uma novidade estrutura para proteger repositórios de pacotes.
Chamou o Princípios para segurança do repositório de pacotesa estrutura visa estabelecer um conjunto de regras fundamentais para gerenciadores de pacotes e fortalecer ainda mais os ecossistemas de software de código ingénuo.
“Os repositórios de pacotes estão em um ponto crítico no ecossistema de código ingénuo para ajudar a prevenir ou mitigar tais ataques”, disse OpenSSF.
“Mesmo ações simples, uma vez que ter uma política de recuperação de contas documentada, podem levar a melhorias robustas de segurança. Ao mesmo tempo, os recursos devem ser equilibrados com as restrições de recursos dos repositórios de pacotes, muitos dos quais são operados por organizações sem fins lucrativos”.
Notavelmente, os princípios estabelecem quatro níveis de maturidade de segurança para repositórios de pacotes em quatro categorias de autenticação, autorização, recursos gerais e ferramentas de interface de traço de comando (CLI) –
- Nível 0 – Ter muito pouca maturidade de segurança.
- Nível 1 – Ter maturidade básica de segurança, uma vez que autenticação multifator (MFA) e permitir que pesquisadores de segurança relatem vulnerabilidades
- Nível 2 – Ter segurança moderada, o que inclui ações uma vez que exigir MFA para pacotes críticos e alertar os usuários sobre vulnerabilidades de segurança conhecidas
- Nível 3 – Ter segurança avançada, que requer MFA para todos os mantenedores e suporta a origem da compilação para pacotes
Todos os ecossistemas de gerenciamento de pacotes devem trabalhar pelo menos no Nível 1, observam os autores da estrutura Jack Cable e Zach Steindler.
O objetivo final é permitir que os repositórios de pacotes autoavaliem sua maturidade de segurança e formulem um projecto para substanciar suas proteções ao longo do tempo na forma de melhorias de segurança.
“As ameaças à segurança mudam com o tempo, assim uma vez que as capacidades de segurança que abordam essas ameaças”, disse OpenSSF. “Nosso objetivo é ajudar os repositórios de pacotes a fornecer mais rapidamente os recursos de segurança que melhor ajudam a fortalecer a segurança de seus ecossistemas”.
O desenvolvimento ocorre no momento em que o Núcleo de Coordenação de Cibersegurança do Setor de Saúde (HC3) do Departamento de Saúde e Serviços Humanos dos EUA alerta sobre os riscos de segurança decorrentes do uso de software de código ingénuo para manutenção de registros de pacientes, gerenciamento de estoque, prescrições e faturamento.
“Embora o software de código ingénuo seja a base do desenvolvimento de software moderno, muitas vezes também é o gavinha mais fraco na calabouço de fornecimento de software”, afirmou em um resumo de ameaças publicado em dezembro de 2023.
