Paket Deposu Güvenliği için CISA ve OpenSSF Sürüm Çerçevesi

Paket Deposu Güvenliği İlkeleri olarak adlandırılan çerçeve, paket yöneticileri için bir dizi temel kural oluşturmayı ve açık kaynaklı yazılım ekosistemlerini daha da güçlendirmeyi amaçlıyor.

OpenSSF, "Paket depoları, bu tür saldırıları önlemeye veya azaltmaya yardımcı olmak için açık kaynak ekosisteminde kritik bir noktadadır" dedi.

"Belgelenmiş bir hesap kurtarma politikasına sahip olmak gibi basit eylemler bile sağlam güvenlik iyileştirmelerine yol açabilir. Aynı zamanda, yetenekler, çoğu kar amacı gütmeyen kuruluşlar tarafından işletilen paket havuzlarının kaynak kısıtlamalarıyla dengelenmelidir."

Özellikle, ilkeler kimlik doğrulama, yetkilendirme, genel yetenekler ve komut satırı arabirimi (CLI) araçları olmak üzere dört kategoride paket depoları için dört güvenlik olgunluk düzeyi ortaya koymaktadır:

  • Seviye 0 - Çok az güvenlik olgunluğuna sahip olmak
  • Seviye 1 - Çok faktörlü kimlik doğrulama (MFA) gibi temel güvenlik olgunluğuna sahip olmak ve güvenlik araştırmacılarının güvenlik açıklarını bildirmesine izin vermek
  • Seviye 2 - Kritik paketler için MFA isteme ve kullanıcıları bilinen güvenlik açıkları konusunda uyarma gibi eylemleri içeren orta düzeyde güvenliğe sahip olma
  • Seviye 3 - Tüm bakımcılar için MFA gerektiren ve paketler için yapı kaynağını destekleyen gelişmiş güvenliğe sahip olmak

Çerçeve yazarları Jack Cable ve Zach Steindler, tüm paket yönetimi ekosistemlerinin en az Seviye 1'e doğru çalışması gerektiğini belirtiyor.

Nihai hedef, paket depolarının güvenlik olgunluklarını kendi kendilerine değerlendirmelerine ve zaman içinde güvenlik iyileştirmeleri şeklinde korkuluklarını güçlendirmek için bir plan oluşturmalarına izin vermektir.

OpenSSF, "Güvenlik tehditleri, bu tehditleri ele alan güvenlik yetenekleri gibi zaman içinde değişiyor" dedi. "Amacımız, paket depolarının ekosistemlerinin güvenliğini en iyi şekilde güçlendirmeye yardımcı olan güvenlik özelliklerini daha hızlı bir şekilde sunmalarına yardımcı olmaktır."

Gelişme, ABD Sağlık ve İnsan Hizmetleri Bakanlığı'nın Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi'nin (HC3) hasta kayıtlarını, envanter yönetimini, reçeteleri ve faturalandırmayı sürdürmek için açık kaynaklı yazılım kullanmanın bir sonucu olarak ortaya çıkan güvenlik riskleri konusunda uyarmasıyla geldi.

Aralık 2023'te yayınlanan bir tehdit özetinde, "Açık kaynaklı yazılım, modern yazılım geliştirmenin temel taşı olsa da, aynı zamanda genellikle yazılım tedarik zincirindeki en zayıf halkadır" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği