Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) kündigte an, dass sie mit der Open Source Security Foundation (OpenSSF) Securing Software Repositories Working Group zusammenarbeitet, um einen neuen Rahmen zur Sicherung von Paket-Repositories zu veröffentlichen. Der Rahmen, der als Principles for Package Repository Security bezeichnet wird, zielt darauf ab, eine Reihe von grundlegenden Regeln für Package Manager festzulegen und Open-Source-Software-Ökosysteme weiter zu stärken.
Öffentliche Paket-Repositories sind an einem entscheidenden Punkt im Open-Source-Ökosystem, um solche Angriffe zu verhindern oder abzumildern“, so OpenSSF. „Sogar einfache Maßnahmen wie eine dokumentierte Account-Wiederherstellungspolitik können zu robusten Sicherheitsverbesserungen führen. Gleichzeitig müssen die Fähigkeiten mit den Ressourcenbeschränkungen von Paket-Repositories in Einklang gebracht werden, von denen viele von gemeinnützigen Organisationen betrieben werden.“
Die Grundsätze legen vier Sicherheitsreifungsstufen für Paket-Repositories in den Kategorien Authentifizierung, Autorisierung, allgemeine Funktionen und Befehlszeilenschnittstellen (CLI) fest.
Level 0: Sehr geringe Sicherheitsreife.
Level 1: Grundlegende Sicherheitsreife, wie beispielsweise Multi-Faktor-Authentifizierung (MFA) und die Möglichkeit für Sicherheitsforscher, Sicherheitslücken zu melden.
Level 2: Moderne Sicherheit, zu der Maßnahmen wie die Erfordernis von MFA für kritische Pakete und Warnungen an Nutzer vor bekannten Sicherheitslücken gehören.
Level 3: Fortgeschrittene Sicherheit, die MFA für alle Verwalter erfordert und den Buildprozess für Pakete unterstützt.
Alle Paket-Management-Ökosysteme sollten mindestens auf Level 1 hinarbeiten. Das ultimative Ziel ist es, es Paket-Repositories zu ermöglichen, ihre Sicherheitsreifen selbst zu bewerten und im Laufe der Zeit einen Plan zur Stärkung ihrer Sicherheitsvorkehrungen in Form von Sicherheitsverbesserungen auszuarbeiten.
„Bedrohungen im Bereich der Sicherheit verändern sich im Laufe der Zeit, genauso wie die Sicherheitsfähigkeiten, die diesen Bedrohungen entgegenwirken“, so OpenSSF. „Unser Ziel ist es, Paket-Repositories dabei zu helfen, die Sicherheitsfähigkeiten schneller bereitzustellen, die dazu beitragen, die Sicherheit ihrer Ökosysteme zu stärken.“
Die Entwicklung erfolgt, während das Health Sector Cybersecurity Coordination Center (HC3) des U.S. Department of Health and Human Services vor Sicherheitsrisiken warnt, die sich aus der Verwendung von Open-Source-Software zur Verwaltung von Patientenakten, Inventarmanagement, Rezepten und Abrechnungen ergeben. Laut einem im Dezember 2023 veröffentlichten Bedrohungsbericht ist Open-Source-Software zwar das Fundament für die moderne Softwareentwicklung, aber oft auch der schwächste Punkt in der Softwarezulieferkette.
