Открытое ПО – крепость или мишень? CISA и OpenSSF знают ответ

VPN для безопасного серфинга в России – купи через наш Телеграмм-бот:

Новые требования задают единые стандарты безопасности репозиториев.

Агентство кибербезопасности и инфраструктурной безопасности США (CISA) объявило о сотрудничестве с рабочей группой фонда безопасности открытого исходного кода (OpenSSF). Организации представили совместную платформу для обеспечения безопасности репозиториев пакетов.

Новый фреймворк, получивший название «Принципы безопасности репозиториев пакетов» (Principles for Package Repository Security), предлагает основные правила для управления пакетами и направлен на усиление защиты экосистемы открытого программного обеспечения.

OpenSSF подчёркивает критическую роль репозиториев пакетов в предотвращении и смягчении атак, указывая на то, что даже простые меры, такие как наличие документированной политики восстановления аккаунтов, могут существенно улучшить безопасность. В то же время необходимо учитывать ресурсные ограничения репозиториев, многие из которых управляются некоммерческими организациями.

Забудь про блокировки! VPN через Телеграмм-бот для России!

Фреймворк определяет четыре уровня безопасности репозиториев в четырёх категориях: аутентификация, авторизация, общие возможности и инструментарий командной строки:

  • уровень 0 соответствует минимальной безопасности;
  • уровень 1 обеспечивает базовую безопасность, включая многофакторную аутентификацию (MFA) и возможность сообщения об уязвимостях;
  • уровень 2 предусматривает умеренную безопасность, требующую MFA для критически важных пакетов и предупреждения пользователей об известных уязвимостях;
  • уровень 3 означает продвинутый уровень безопасности, требующий MFA для всех сопровождающих операций и поддержку проверки происхождения сборок пакетов.

Авторы нового фреймворка, Джек Кейбл и Зак Стейндлер, отмечают , что все экосистемы управления пакетами должны стремиться как минимум к достижению уровня 1.

Основная цель заключается в том, чтобы репозитории пакетов могли самостоятельно оценить свой уровень безопасности и разработать план постепенного усиления защитных механизмов.

Разработка фреймворка происходит на фоне предупреждений Центра координации кибербезопасности сектора здравоохранения США (HC3) о рисках безопасности, связанных с использованием открытого программного обеспечения для ведения медицинских записей, управления запасами, выписки рецептов и биллинга.

  Скорая не приедет: 25 румынских больниц парализованы после кибератаки

«Несмотря на то что открытое программное обеспечение служит основой современной разработки ПО, оно также часто является наиболее уязвимым звеном в цепочке поставок программного обеспечения», — говорится в отчёте HC3, опубликованном в декабре 2023 года.

Приватность — это право, а не роскошь.

Подпишитесь на наш канал и защитите свои права

Онлайн VPN сервис — это виртуальная частная сеть (VPN), доступная для использования через интернет. Такие сервисы позволяют пользователям безопасно и анонимно подключаться к интернету, защищая их данные и обеспечивая конфиденциальность в сети. Онлайн VPN сервисы становятся все более популярными, так как они предоставляют простое и удобное решение для защиты интернет-трафика.

Онлайн VPN сервис — это важный инструмент для обеспечения безопасности и конфиденциальности в интернете. Он позволяет защитить ваши данные, обходить блокировки и сохранять анонимность. Выбор надежного онлайн VPN поможет вам безопасно серфить в интернете и защитить свою личную информацию.