CISA und OpenSSF wollen Software-Lieferkette sicherer machen
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat zusammen mit der Arbeitsgruppe Securing Software Repositories der Open Source Security Foundation (OpenSSF) ein neues Rahmenwerk veröffentlicht, um Paket-Repositories für Software sicherer zu machen.
Paket-Repositories sind heute oft zentrale Anlaufstelle für die Software-Entwicklung. Softwarepakete werden hier gespeichert und verwaltet. Diese Pakete enthalten Anwendungen, Bibliotheken und andere Softwarekomponenten. Entwickler können diese Pakete herunterladen und in ihren eigenen Projekten verwenden, was die Entwicklung von Software deutlich beschleunigt und erleichtert. Einige bekannte Beispiele für Paket-Repositories sind npm für JavaScript, PyPI für Python und Maven für Java.
Bei allen Vorteilen – unkontrollierte Repositories bergen auch Risiken, nicht zuletzt, weil Cyberkriminelle sie vermehrt als Angriffspunkt entdeckt haben. Das Rahmenwerk „Grundsätze für die Sicherheit von Paketquellen“ hat das Ziel, grundlegende Regeln für die Verwaltung von Softwarepaketen festzulegen, um die Sicherheit von Open-Source-Software-Ökosystemen zu verbessern.
Laut OpenSSF sind Paket-Repositories an einem wichtigen Punkt im Open-Source-Ökosystem, um Angriffe zu verhindern oder abzuwehren. Selbst einfache Maßnahmen wie klare Richtlinien zur Wiederherstellung von Konten können die Sicherheit erheblich verbessern. Gleichzeitig müssen diese Maßnahmen im Einklang mit den begrenzten Ressourcen von Paket-Repositories stehen, von denen viele von gemeinnützigen Organisationen betrieben werden.
Vier Sicherheitsstufen
Das Rahmenwerk definiert vier Sicherheitsstufen für Paketquellen in den Bereichen Authentifizierung, Autorisierung, allgemeine Fähigkeiten und Werkzeuge für die Befehlszeilenschnittstelle (CLI).
- Stufe 0: Minimale Sicherheit
- Stufe 1: Einfache Sicherheit, wie zum Beispiel die Verwendung von Multi-Faktor-Authentifizierung (MFA) und die Möglichkeit für Sicherheitsforscher, Schwachstellen zu melden.
- Stufe 2: Mittlere Sicherheit, die zusätzliche Maßnahmen wie die Anforderung von MFA für wichtige Pakete und die Benachrichtigung von Benutzern über bekannte Sicherheitslücken umfasst.
- Stufe 3: Fortgeschrittene Sicherheit, welche die Verwendung von MFA für alle Paketbetreuer erfordert und die Überprüfung von Paketen unterstützt.
Alle Paketmanagement-Ökosysteme sollten mindestens auf Stufe 1 hinarbeiten, so die Autoren des Rahmenwerks.
Das Hauptziel besteht darin, dass Paket-Repositories in der Lage sind, ihre eigene Sicherheitslage zu bewerten und einen Plan zu erstellen, um im Laufe der Zeit ihre Sicherheitsmaßnahmen zu verbessern.
Laut OpenSSF verändern sich Sicherheitsbedrohungen im Laufe der Zeit, und es ist wichtig, dass Paket-Repositories schnell die passenden Sicherheitsmaßnahmen implementieren, um ihre Ökosysteme zu schützen.
Diese Initiative kommt zu einem kritischen Zeitpunkt, da das Health Sector Cybersecurity Coordination Center (HC3) des US-Gesundheitsministeriums vor Sicherheitsrisiken warnt, die aus der Nutzung von Open-Source-Software für die Verwaltung von Patientenakten, Inventar, Rezepten und Rechnungen resultieren: „Open-Source-Software ist zwar ein grundlegendes Element moderner Softwareentwicklung, aber oft auch die Schwachstelle in der Software-Lieferkette“, wie es in einem im Dezember 2023 veröffentlichten Bedrohungsbericht des HC3 heißt.