Açık Kaynak Güvenliği Vakfı (OpenSSF), ABD siber güvenlik kurumu CISA ile işbirliği içinde Paket Deposu Güvenliği İlkelerini yayınladı. Kurallar kümesi, paket günlüklerinin güvenliğinin belirlenmesine ve geliştirilmesine yardımcı olmayı amaçlamaktadır.
Duyuru
Birçok şirket, yazılım projelerinde JavaScript için npm veya Python için PyPI gibi platformlardan harici açık kaynak paketleri kullanıyor. Ve paketler arasında, bazen hatalar nedeniyle, ancak çoğu zaman kasıtlı olarak eklenen kötü amaçlı kodlar nedeniyle tekrar tekrar güvenlik açıkları bulunan kodlar bulunur.
Güvenlik için şerit metre
Yeni çerçeve, platformların güvenlik olgunluğunu ölçmek için dört alana yönelik spesifikasyonlar içeriyor: kimlik doğrulama, yetkilendirme, genel özellikler ve komut satırı araçları.
Her kategori için Düzey 0'dan (çok düşük güvenlik) Düzey 1'e (temel güvenlik) ve Düzey 2'den (orta güvenlik) Düzey 3'e (gelişmiş güvenlik) kadar dört olgunluk düzeyi atayın.
Önemli bir politika, çok faktörlü kimlik doğrulamadır (MFA): seviye 1, kayıtların bunu etkinleştirmesini gerektirir, seviye 2, kritik paketler için gerekli olması gerektiği anlamına gelir ve seviye 3, tüm bakımcıların MFA aracılığıyla oturum açması gerektiği anlamına gelir.
Hesaplı veya hesapsız
Bireysel değerlendirmeyle ilgili olarak, yönergeler bir yandan paket kayıtlarının kullanıcı hesaplarını mı yönettiğini, bitmiş paketleri mi kabul ettiğini, kaynak kodu oluşturma sürecini mi devraldığını yoksa yalnızca kaynak kodunu mu yönettiğini farklılaştırıyor.
Buna bağlı olarak, kimlik doğrulama yalnızca kullanıcı hesaplarına sahip hizmetler için geçerli olduğundan, hizmetler için farklı kategoriler geçerlidir. Tüm kayıtlar için geçerli olan genel güvenlik politikaları; güvenlik açıklarını bildirmenin ne kadar kolay olduğunu, dışarıdan güvenlik araştırmacılarına erişim izni verilip verilmediğini ve hizmetlerin düzenli olarak güvenlik denetimleri yürütüp yürütmediğini (veya yaptırıp yaptırmadığını) içerir ancak bunlarla sınırlı değildir.
Paket Güvenliği İlkeleri belgesi şu anda 0.1 sürüm numarasına sahiptir. Çalışma grubunun GitHub deposundaki bir çekme isteği, sürüm 0.2'ye geçiş için geri bildirim toplamak amacıyla kullanılır.
Daha fazla ayrıntıyı çerçevenin lansmanıyla ilgili OpenSSF blog yazısında bulabilirsiniz.
(kendim)
Haberin Sonu
Duyuru
Birçok şirket, yazılım projelerinde JavaScript için npm veya Python için PyPI gibi platformlardan harici açık kaynak paketleri kullanıyor. Ve paketler arasında, bazen hatalar nedeniyle, ancak çoğu zaman kasıtlı olarak eklenen kötü amaçlı kodlar nedeniyle tekrar tekrar güvenlik açıkları bulunan kodlar bulunur.
Güvenlik için şerit metre
Yeni çerçeve, platformların güvenlik olgunluğunu ölçmek için dört alana yönelik spesifikasyonlar içeriyor: kimlik doğrulama, yetkilendirme, genel özellikler ve komut satırı araçları.
Her kategori için Düzey 0'dan (çok düşük güvenlik) Düzey 1'e (temel güvenlik) ve Düzey 2'den (orta güvenlik) Düzey 3'e (gelişmiş güvenlik) kadar dört olgunluk düzeyi atayın.
Önemli bir politika, çok faktörlü kimlik doğrulamadır (MFA): seviye 1, kayıtların bunu etkinleştirmesini gerektirir, seviye 2, kritik paketler için gerekli olması gerektiği anlamına gelir ve seviye 3, tüm bakımcıların MFA aracılığıyla oturum açması gerektiği anlamına gelir.
Hesaplı veya hesapsız
Bireysel değerlendirmeyle ilgili olarak, yönergeler bir yandan paket kayıtlarının kullanıcı hesaplarını mı yönettiğini, bitmiş paketleri mi kabul ettiğini, kaynak kodu oluşturma sürecini mi devraldığını yoksa yalnızca kaynak kodunu mu yönettiğini farklılaştırıyor.
Buna bağlı olarak, kimlik doğrulama yalnızca kullanıcı hesaplarına sahip hizmetler için geçerli olduğundan, hizmetler için farklı kategoriler geçerlidir. Tüm kayıtlar için geçerli olan genel güvenlik politikaları; güvenlik açıklarını bildirmenin ne kadar kolay olduğunu, dışarıdan güvenlik araştırmacılarına erişim izni verilip verilmediğini ve hizmetlerin düzenli olarak güvenlik denetimleri yürütüp yürütmediğini (veya yaptırıp yaptırmadığını) içerir ancak bunlarla sınırlı değildir.
Paket Güvenliği İlkeleri belgesi şu anda 0.1 sürüm numarasına sahiptir. Çalışma grubunun GitHub deposundaki bir çekme isteği, sürüm 0.2'ye geçiş için geri bildirim toplamak amacıyla kullanılır.
Daha fazla ayrıntıyı çerçevenin lansmanıyla ilgili OpenSSF blog yazısında bulabilirsiniz.
(kendim)
Haberin Sonu