Seguici su Telegram, ne vale la pena ❤️ ➡ @trovalost
Vai al contenuto

Cosa non va nella supply chain del software open source

Il caso della backdoor xz mette in evidenza il problema della distribuzione di software open source non sempre controllato adeguatamente prima di andare in produzione. E prima di tributare il nostro “grazie” a chi ha scoperto, in modo abbastanza casuale, la falla in questione, è bene fare i conti con il modello distributivo di questo software.

Gran parte delle infrastrutture informatiche moderne, infatti, poggia in un modo o nell’altro su software open source e gratuito che non viene controllato adeguatamente, che non viene aggiornato da tempo o su cui tendenzialmente non ci sono i dovuti controllo. La figura del maintener dei vari progetti open source, del resto, è da tempo sotto pressione, dato che si occupa di gestire grandi quantità di codice ed è difficile, se non impossibile, fare un controllo di qualità sul tipo di collaboratori e sulla loro affidabilità.

La supply chain dell’open source, nello specifico, si riferisce al processo di produzione, distribuzione e supporto associato al software open source. Contrariamente ai modelli tradizionali di sviluppo software, dove una singola azienda possiede e controlla il codice sorgente, nell’open source il codice sorgente è reso disponibile pubblicamente e può essere modificato, distribuito e utilizzato da chiunque, secondo le condizioni specificate nelle relative licenze open source. Tale supply chain comprende diversi elementi:

  1. Sviluppatori: Sono individui o gruppi che contribuiscono al codice sorgente del software open source. Possono essere sviluppatori indipendenti, aziende, istituzioni accademiche o organizzazioni senza scopo di lucro.
  2. Repository: È il luogo dove il codice sorgente è ospitato e gestito. Repository popolari includono GitHub, GitLab e Bitbucket. Questi servizi offrono strumenti per il controllo delle versioni, la gestione dei problemi e la collaborazione.
  3. Comunità: La comunità è costituita da tutti coloro che contribuiscono al software open source, fornendo feedback, segnalando problemi, scrivendo documentazione e partecipando a discussioni. Una comunità sana è fondamentale per il successo di un progetto open source.
  4. Distribuzione: Il software open source può essere distribuito attraverso vari canali, tra cui repository online, pacchetti software nei repository delle distribuzioni Linux e bundle di installazione.
  5. Supporto: Il supporto per il software open source può essere fornito dalla comunità, da fornitori di servizi commerciali, da consulenti indipendenti o da aziende che offrono servizi di supporto specifici per il software open source.
  6. Documentazione: La documentazione è essenziale per consentire agli utenti di comprendere e utilizzare il software open source. Questa può essere creata dalla comunità o dai contributori del progetto stesso.
  7. Licenze: Le licenze open source regolano l’uso e la distribuzione del software. Esistono diverse licenze open source, ognuna con le proprie condizioni e requisiti.

Proteggersi da eventuale codice malevolo inserito maliziosamente in un progetto open source è una preoccupazione importante per la sicurezza della supply chain del software. Soluzioni ne esistono, ma le persone rimangono sempre l’aspetto più importante e più difficile da controllare.

  1. Verifica del codice: Esegui regolarmente analisi statiche e dinamiche del codice per individuare eventuali vulnerabilità o codice malevolo. Puoi utilizzare strumenti di analisi del codice statico e dinamico per identificare eventuali anomalie o comportamenti sospetti.
  2. Firma digitale: Verifica le firme digitali dei pacchetti software per garantire che non siano stati alterati o compromessi. Le firme digitali forniscono un modo per verificare l’autenticità e l’integrità del software.
  3. Controllo degli accessi: Limita l’accesso ai repository del codice sorgente e applica controlli di accesso rigorosi per garantire che solo persone autorizzate possano contribuire al progetto.
  4. Revisione del codice: Implementa procedure di revisione del codice rigorose per esaminare e approvare i cambiamenti prima che vengano incorporati nel codice sorgente principale. Coinvolgi più revisori nel processo di revisione per individuare potenziali problemi.
  5. Integrazione continua (CI) e Continuous Deployment (CD): Utilizza strumenti di CI/CD per automatizzare i test e le verifiche di sicurezza durante lo sviluppo del software. Assicurati che vengano eseguiti test di sicurezza automatizzati come parte del processo di build e rilascio.
  6. Monitoraggio della supply chain: Monitora costantemente la tua supply chain del software per individuare comportamenti sospetti o attività non autorizzate. Utilizza strumenti di monitoraggio e rilevamento delle minacce per identificare potenziali intrusioni o violazioni della sicurezza.
  7. Aggiornamenti regolari: Mantieni il software open source utilizzato aggiornato con le ultime patch di sicurezza e le versioni più recenti. Monitora i report di sicurezza e gli avvisi di vulnerabilità per essere consapevole di potenziali rischi di sicurezza nel software utilizzato.
  8. Comunicazione e collaborazione: Collabora con la comunità open source e con altri sviluppatori per condividere informazioni e pratiche migliori per migliorare la sicurezza della supply chain del software open source. Condividi le tue esperienze e le tue conoscenze per contribuire a proteggere l’intera community.

Implementando queste pratiche, puoi ridurre il rischio di codice malevolo inserito maliziosamente nel tuo progetto open source e proteggere la tua supply chain del software da potenziali minacce alla sicurezza.

👇 Da non perdere 👇



Trovalost.it esiste da 4492 giorni (12 anni), e contiene ad oggi 5170 articoli (circa 4.136.000 parole in tutto) e 15 servizi online gratuiti. – Leggi un altro articolo a caso
Non ha ancora votato nessuno.

Ti sembra utile o interessante? Vota e fammelo sapere.

Questo sito contribuisce alla audience di sè stesso.
Il nostro network informativo: Lipercubo - Pagare online (il blog) - Trovalost.it