Open Source Security Foundation
OpenSSF

Компания

Информационные технологии
С 2020 года



Собственники:
Microsoft
Google
Red Hat
IBM
Linux Foundation

Содержание

Конечные собственники

История

2024: Хакеры пытаются перехватить контроль в Open Source сообществах

Организация Open Source Security Foundation (OpenSSF), которая в структуре Linux Foundation занимается повышением безопасности открытого кода проектов, опубликовала в середине апреля предупреждение[1] о попытках вмешательства с целью перехвата контроля в сообщества разработки различных проектов OpenJS Foundation.

Эта организация выступает платформой для развития проектов на базе языка JavaScript, таких как Node.js, jQuery, Appium, Dojo, PEP, Mocha и webpack. По мнению Омара Арасаратнама, главного менеджера OpenSSF и Робина Джинна, операционного директора OpenJS Foundation, деятельность некоторых разработчиков похожа на ту, которую развернули хакеры для перехвата контроля над проектом XZ Utils и встраивания в эту утилиту закладки (бэкдора) для компрометации SSH-серверов.

Securelist
«Лаборатория Касперского» опубликовала исследование[2] внедрения закладки в XZ Utils

Попытка встроить в XZ Utils вредоносную закладку была обнаружена мировым сообществом в конце марта этого года. Вот как ситуацию с этим проектом характеризует «Лаборатория Касперского» в своём ТГ-канале:

«
Главный вывод — атакующие хотели добиться запуска произвольного кода через sshd, что давало бы им возможность свободного доступа к огромному количеству серверов, на которых запущен SSH. Ради решения амбициозной задачи была разработана многоэтапная операция и очень хитроумная цепочка заражения, в том числе скрывающая части бэкдора в тест-кейсах, чтобы снизить вероятность обнаружения при анализе исходников.
»

Естественно, что после выявления подобной атаки на цепочку поставок открытых компонент остальные институты, занимающиеся развитием проектов с открытым кодами, начали пересматривать правила контроля измерений особенно по ключевым проектам. Рынок аутсорсинга информационной безопасности в России: особенности развития и перспективы. Обзор TAdviser 6.5 т

Экосистема языка JavaScript является одной из важнейших в современных условиях, поскольку именно ее используют в большинстве веб-приложений. Поэтому-то OpenSSF и решила подготовить соответствующий доклад.

В частности, его авторы выделили следующие шаблоны подозрительного поведения, которое позволяет заподозрить социальную инженерию в действиях разработчиков:

  • Дружелюбное, но агрессивное и настойчивое преследование сопровождающего или поддерживаемой им организации со стороны относительно неизвестных членов сообщества.
  • Запрос на повышение статуса конкретного разработчика от новых или неизвестных лиц.
  • Одобрение новых кодов исходит от неизвестных членов сообщества, которые также могут использовать фальшивые идентификаторы.
  • Публичная активность и попытка внедрения в коды больших двоичные объекты в качестве артефактов. Например, закладка в XZ Utils представляла собой специально созданный файл как часть набора тестов, который невозможно было проанализировать человеком.
  • Намеренно запутанный или трудный для понимания исходный код.
  • Постепенно усиливающиеся проблемы в безопасности. Например, проблема XZ Utils началась с относительно безобидной замены функции safe_fprintf() на fprintf(), чтобы протестировать, кто и как ее исправит.
  • Использование нетипичных методов компиляции, сборки и развертывания проектов, которые могут позволить вставлять внешние вредоносные бинарные вкрапления.
  • Внушение ложного чувства срочности, особенно если оно вынуждает сопровождающего снижать тщательность проверки или пропускать этапы контроля кода.

Интересно, что если проанализировать эти признаки опасного поведения разработчиков в проектах с открытыми кодами, то под них могут подойти в том числе и участники российской программы обеспечения безопасности открытых проектов, которая координируется ФСТЭК России. В них проверку и устранение уязвимостей в ключевых открытых компонентах выполняют российские компании-разработчики, которые анализируют коды с целью поиска дефектов и их устранения. Естественно, что при этом приходится внедрять своих инженеров в цепочку принятия решений. В результате, такие действия могут быть расценены владельцами продуктов как попытка их перехвата.

В целом, можно констатировать, что работа с открытым кодами сейчас меняется. Уже нельзя просто так взять и использовать сторонний программный код даже с открытой лицензией. Компаниям, которые занимаются разработкой программного обеспечения на базе открытых кодов, приходиться заводить отдельное подразделение в рамках обеспечения цикла безопасной разработки - безопасность открытых проектов (Open source security — OSS). Такие подразделения занимаются применением мер и технологий для защиты от уязвимостей, угроз и атак, которые могут возникнуть в процессе разработки, использования и распространения программного обеспечения с открытым кодом.

«
В рамках OSS осуществляется анализ кода на наличие уязвимостей, регулярные обновления и патчи для исправления обнаруженных проблем, контроль цепочек поставок компонентов, аутентификация и авторизация пользователей, шифрование данных и другие меры, направленные на обеспечение безопасности проектов с открытым кодом, — пояснил ситуацию для TAdviser Александр Чернов, руководитель направления киберразведки Innostage CyberART. — Также важно поддерживать активное сообщество разработчиков и пользователей для оперативного реагирования на уязвимости и обмена информацией о безопасности. Стоит отметить, что данное направление относительное новое, и процессы OSS внедряют только очень зрелые компании. Инциденты, связанные с открытыми кодами, показывают, что данному вопросу нужно уделять должное внимание.
»

2020: Создание организации

В начале августа 2020 года Microsoft, Google, Red Hat, IBM и несколько других технологических компаний запустили организацию Open Source Security Foundation (OpenSSF), участники которой займутся вопросами безопасности программного обеспечения с открытым исходным кодом. Этот альянс создан под крылом Linux Foundation.

Основная цель OpenSSF заключается в том, что упростить усилия отрасли по защите продуктов Open Source, объединив самые популярные проекты и компании, вовлечённые в эти инициативы. Создатели OpenSSF отмечают, что ПО с открытыми исходниками стало распространенным явлением в технологической отрасли и используется повсеместно: от дата-центров до потребительского оборудования.

Microsoft, Google и IBM создали организацию для защиты открытого ПО от вирусов

Как пояснили в Microsoft, развитием софта Open Source занимается открытое сообщество при отсутствии единого центра, отвечающего за его качество и сопровождение. А поскольку исходный код подвергается копированию и модификации, процесс управления версиями усложняется и увеличивается риск внедрения вредоносных элементов. Это обуславливает необходимость создания общими усилиями способов повышения безопасности открытого ПО, отметили в компании.

Под эгиду OpenSSF, в частности, переходит проект Core Infrastructure Initiative, ставший реакцией на открытие в 2014 году печально знаменитой уязвимости Heartbleed в протоколе Open SSL, а также организация Open Source Security Coalition, основанная в 2019 году по инициативе лаборатории GitHub Security.

Помимо этого, планируется использовать при разработке открытого ПО защищенные сборочные системы. OpenSSF будет работать над скоординированным раскрытием информации об уязвимостях, разработкой инструментов обеспечения безопасности и механизмами защиты софта от вирусов.[3]

Примечания

  1. Open Source Security (OpenSSF) and OpenJS Foundations Issue Alert for Social Engineering Takeovers of Open Source Projects
  2. XZ backdoor story – Initial analysis
  3. Linux Foundation announces new initiative to secure open-source software
Источник — «https://retail.tadviser.ru/index.php/%D0%9A%D0%BE%D0%BC%D0%BF%D0%B0%D0%BD%D0%B8%D1%8F:Open_Source_Security_Foundation%C2%A0(OpenSSF)»

СМ. ТАКЖЕ (2)

Править
Read in English   |   Короткая ссылка   |  Просмотров: 4378
Российские кардиохирурги первым в мире успешно имплантировали пациенту сосудистый протез с лепестками синусов корня аорты
В России разработали и начали применять умный катетер Visus-MG для дренажа мочевого пузыря
Московский «Металлист» начал выпуск протезов рук для детей. Они печатаются на 3D-принтере
Кировская область перевела сайты больниц на «Госвеб»
Конференция «Big Data & Artificial Intelligence Day» состоится 24 апреля
Конференция «Cloud Day 2024» состоится 23 апреля
«Код Безопасности» приглашает на большой стрим о защите сетевой инфраструктуры
Современное кассовое ПО: как оптимизировать бизнес и соответствовать законодательству
Для платформы Polymatica разработан новый модуль для сбора и ведения данных компанией Codex Proj
Конференция «ИТ в промышленности 2024» состоится 28 мая
Конференция «ИТ в банках 2024» состоится 28 мая
Масштабная конференция True Tech Day снова соберет тысячи представителей ИТ-сообщества
Александр Русских, Global ERP: Мы заняли нишу импортозамещающих продуктов еще десять лет назад, благодаря нашим заказчикам
Владимир Маслов, ТПП РФ: После ухода Qlik — импортозамещение BI
Платформа ГосТех использует систему виртуализации на российском ПО компании «Базис»
GETMOBIT: Наша платформа стала открытой — появилась возможность подключения устройств сторонних производителей
Александр Егоркин, Газпромбанк: Если мы немедленно проведем импортозамещение, бизнес-процессы встанут
Рынок заказной разработки ПО в России: особенности, перспективы, крупнейшие участники. Обзор TAdviser
Банковские API: кастомизация клиентского пути для любого сегмента бизнеса
Российский рынок видеоконференцсвязи: оценки, драйверы, крупнейшие участники. Обзор TAdviser
Депутат Госдумы экс-программист Анатолий Вассерман примет участие в TAdviser SummIT 28 мая
28 мая министр цифрового развития Максут Шадаев выступит на TAdviser SummIT
Российский рынок BI-систем: оценки, перспективы, крупнейшие вендоры и интеграторы. Обзор TAdviser
Российский рынок СЭД/ECM борется с демпингом и рассчитывает на возможности искусственного интеллекта. Обзор и рейтинг TAdviser
Рынок ИТ-услуг в России: оценки, тренды, крупнейшие участники. Обзор и рейтинг TAdviser