Paket Deposu Güvenliği için CISA ve OpenSSF Sürüm Çerçevesi
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), paket havuzlarının güvenliğini sağlamak için yeni bir çerçeve yayınlamak üzere Açık Kaynak Güvenlik Vakfı (OpenSSF) Güvenli Yazılım Havuzları Çalışma Grubu ile ortaklık kurduğunu duyurdu.
Paket Deposu Güvenliği İlkeleri olarak adlandırılan çerçeve, paket yöneticileri için bir dizi temel kural oluşturmayı ve açık kaynaklı yazılım ekosistemlerini daha da güçlendirmeyi amaçlıyor.
OpenSSF, "Paket depoları, bu tür saldırıları önlemeye veya azaltmaya yardımcı olmak için açık kaynak ekosisteminde kritik bir noktadadır" dedi.
"Belgelenmiş bir hesap kurtarma politikasına sahip olmak gibi basit eylemler bile sağlam güvenlik iyileştirmelerine yol açabilir. Aynı zamanda, yetenekler, çoğu kar amacı gütmeyen kuruluşlar tarafından işletilen paket havuzlarının kaynak kısıtlamalarıyla dengelenmelidir."
Özellikle, ilkeler kimlik doğrulama, yetkilendirme, genel yetenekler ve komut satırı arabirimi (CLI) araçları olmak üzere dört kategoride paket depoları için dört güvenlik olgunluk düzeyi ortaya koymaktadır:
- Seviye 0 - Çok az güvenlik olgunluğuna sahip olmak
- Seviye 1 - Çok faktörlü kimlik doğrulama (MFA) gibi temel güvenlik olgunluğuna sahip olmak ve güvenlik araştırmacılarının güvenlik açıklarını bildirmesine izin vermek
- Seviye 2 - Kritik paketler için MFA isteme ve kullanıcıları bilinen güvenlik açıkları konusunda uyarma gibi eylemleri içeren orta düzeyde güvenliğe sahip olma
- Seviye 3 - Tüm bakımcılar için MFA gerektiren ve paketler için yapı kaynağını destekleyen gelişmiş güvenliğe sahip olmak
Çerçeve yazarları Jack Cable ve Zach Steindler, tüm paket yönetimi ekosistemlerinin en az Seviye 1'e doğru çalışması gerektiğini belirtiyor.
Nihai hedef, paket depolarının güvenlik olgunluklarını kendi kendilerine değerlendirmelerine ve zaman içinde güvenlik iyileştirmeleri şeklinde korkuluklarını güçlendirmek için bir plan oluşturmalarına izin vermektir.
OpenSSF, "Güvenlik tehditleri, bu tehditleri ele alan güvenlik yetenekleri gibi zaman içinde değişiyor" dedi. "Amacımız, paket depolarının ekosistemlerinin güvenliğini en iyi şekilde güçlendirmeye yardımcı olan güvenlik özelliklerini daha hızlı bir şekilde sunmalarına yardımcı olmaktır."
Gelişme, ABD Sağlık ve İnsan Hizmetleri Bakanlığı'nın Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi'nin (HC3) hasta kayıtlarını, envanter yönetimini, reçeteleri ve faturalandırmayı sürdürmek için açık kaynaklı yazılım kullanmanın bir sonucu olarak ortaya çıkan güvenlik riskleri konusunda uyarmasıyla geldi.
Aralık 2023'te yayınlanan bir tehdit özetinde, "Açık kaynaklı yazılım, modern yazılım geliştirmenin temel taşı olsa da, aynı zamanda genellikle yazılım tedarik zincirindeki en zayıf halkadır" dedi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Concentric AI, DSPM Teknolojisini Genişletmek için 45 Milyon Dolarlık B Serisi Finansman Sağladı
Apple, Araştırmacıların Bulut Yapay Zeka Güvenliğindeki Hataları Belirlemesi için PCC Kaynak Kodunu Açıyor
Araştırmacılar, Jailbreak Yapay Zeka Modellerine 'Aldatıcı Zevk' Yöntemini Açıkladı
Meta, Birleşik Krallık'taki herkese açık Facebook ve Instagram gönderilerini kullanarak yapay zeka modellerini eğitecek
Mastercard, Tehdit İstihbarat Firması Recorded Future'ı 2,6 Milyar Dolara Satın Alacak
Telegram, OTP göndermek için numaranızı kullanmanız karşılığında premium abonelik sunar
GitHub, Geliştiricilerin Güvenlik Kusurlarını Yamalamalarına Yardımcı Olmak için Yapay Zeka Destekli Otomatik Düzeltme Aracını Başlattı
Deepfakes'ten Kötü Amaçlı Yazılıma: Yapay Zekanın Siber Saldırılarda Genişleyen Rolü