I 7 punti deboli delle attuali catene Software

Una cosa importante è la distinzione tra SBOM e SCA (Software Analysis). L'SBOM è l'inventario, ovvero un elenco di componenti. L'SCA valuta se uno qualsiasi di questi componenti è vulnerabile, obsoleto o rischioso. Insieme, forniscono alle organizzazioni le informazioni necessarie per prendere decisioni informate, rispondere più rapidamente alle questioni di sicurezza e rafforzare la gestione complessiva dei rischi.

La rapidità dello sviluppo moderno, unita alla forte dipendenza da codice di terze parti e open source, ha introdotto gravi vulnerabilità. Gli autori delle minacce stanno sfruttando sette principali punti deboli:

Quando gli sviluppatori danno priorità alla velocità, spesso utilizzano grandi librerie open source senza una revisione completa del codice. Un singolo componente può introdurre ulteriori dipendenze transitive. Se si monitora solo il livello superiore, è possibile che non si riesca a individuare il codice dannoso iniettato in quelle dipendenze transitive nascoste.

Questo modello è qualcosa che continuiamo a vedere negli ecosistemi open source. Un pacchetto compromesso può propagarsi attraverso le catene di dipendenza e raggiungere milioni di download prima che qualcuno se ne accorga. Un recente attacco alla catena di fornitura npm che ha coinvolto un crypto-malware evidenzia esattamente come ciò avvenga nella pratica.

Le migliori pratiche:

• Esegui la scansione di tutti i pacchetti open source e delle loro catene di dipendenze complete per identificare vulnerabilità, componenti obsoleti o malware nascosti prima che raggiungano il tuo codice base.
• Monitorare continuamente le dipendenze nel tempo, poiché componenti sicuri possono diventare rischiosi con la comparsa di nuovi CVE o aggiornamenti dannosi.
• Utilizza registri affidabili e verifica l'integrità dei pacchetti per assicurarti che quelli scaricati non siano stati manomessi.
• Applica politiche che segnalano o bloccano le licenze rischiose, in modo che termini di licenza incompatibili o virali non si insinuino nelle tue build.
• Ritardare l'utilizzo dei pacchetti appena pubblicati fino a quando non sono stati controllati, riducendo la possibilità di introdurre versioni non revisionate o dannose nel proprio ambiente.

Le questioni relative alle licenze ora riguardano tanto l'ingegneria quanto l'ambito legale. Le licenze virali, come la GPL, possono obbligare a pubblicare l'applicazione risultante con la stessa licenza, causando potenzialmente alla vostra azienda la perdita della propria proprietà intellettuale (IP). È necessario un monitoraggio continuo perché i termini della licenza possono cambiare, anche per le versioni precedenti, precedentemente conformi.

Le migliori pratiche:

• Utilizza uno strumento automatico di rilevamento delle licenze per segnalare le licenze ad alto rischio o incompatibili nelle prime fasi dello sviluppo. Una spiegazione più approfondita dell'importanza di questo aspetto è disponibile qui: Il ruolo cruciale del rilevamento delle licenze nella sicurezza open source.
• Monitorare costantemente le modifiche alle licenze per individuare eventuali cambiamenti che potrebbero influire sulla conformità o sull'esposizione della proprietà intellettuale.
• Blocca o rivedi i componenti con licenze restrittive o virali prima che entrino nel codice base.
• Mantenere un inventario chiaro di tutte le licenze in uso per semplificare gli audit e le valutazioni dei rischi.

Sebbene le normative impongano la condivisione degli SBOM, un elenco di alto livello non è sufficiente. Per una mitigazione e una prevenzione efficaci sono necessari dati dettagliati, tra cui l'autore, i collaboratori, la frequenza di rilascio e lo stato di manutenzione.

Le migliori pratiche:

• Migliora i report SBOM eseguendo una nuova scansione dei componenti per arricchirli con dati aggiornati sulle licenze, lo stato delle vulnerabilità e altri metadati critici. Un esempio dettagliato di come farlo è descritto qui sotto nella sezione Convalida e arricchimento dei report SBOM di CycloneDX.
• Convalidare e arricchire gli SBOM utilizzando strumenti automatizzati per garantire che le informazioni siano complete, accurate e utilizzabili.
• Richiedere ai fornitori di fornire una SBOM completa, comprese le dipendenze transitive e tutti i metadati pertinenti.
• Aggiornare e monitorare costantemente gli inventari SBOM man mano che i componenti evolvono o emergono nuove vulnerabilità.

Ogni fornitore di cui ti affidi diventa parte della tua catena di approvvigionamento. Se spediscono componenti obsoleti o compromessi, sei tu a ereditare tale rischio. Gli SBOM completi, comprese le dipendenze transitive, consentono di comprendere rapidamente la tua esposizione invece di dover rincorrere i fornitori durante un incidente. Un recente post su Gestione delle vulnerabilità delle dipendenze nellaSupply Chain Software esplora come i team possono rafforzare questa parte del processo.

A causa della rapida diffusione dell'intelligenza artificiale, i team spesso aggirano le normali restrizioni, rendendo questo aspetto un importante vettore di attacco. Gli aggressori inseriscono codice dannoso nei modelli di machine learning, nei file PICO o nelle librerie open source. Il typosquatting è comune in ambienti come Pytorch, dove gli utenti potrebbero scaricare la libreria sbagliata, che può distribuire malware e portare all'esecuzione completa di codice remoto sul computer di un ingegnere.

La scansione dei container deve evolversi oltre il semplice focus sulle vulnerabilità. La sicurezza moderna deve anche cercare malware, crypto miner e minacce ad azione rapida pubblicate in immagini di container disponibili pubblicamente. Una recente analisi del NVIDIA Container CVE-2024-0132 mostra quanto sia facile trascurare questi problemi.