Não conseguiu participar do Transform 2022? Confira todas as sessões da cúpula em nossa biblioteca sob demanda agora! Assista aqui.
A cadeia de suprimentos de software contemporânea é composta de muitos componentes que são necessários para desenvolvê-la: Pessoas, processos, dependências, ferramentas.
Isso vai muito além do código do aplicativo — normalmente o foco principal das ferramentas DevSecOps existentes.
Assim, a cadeia de fornecimento de software cada vez mais complexa de hoje requer um método de segurança totalmente novo. O dilema, porém, é que muitas organizações lutam não apenas para proteger suas cadeias de suprimentos de software, mas também para identificá-las.
“O desafio de proteger a cadeia de fornecimento de software é significativo e complexo para praticamente todas as organizações”, disse Katie Norton, analista sênior de pesquisa da IDC para devops e DevSecOps. “E os muitos pontos de entrada na cadeia de suprimentos de software constituem um risco significativo que não foi contabilizado em muitas organizações.”
Índice
Evento
MetaBeat 2022
A MetaBeat reunirá líderes de pensamento para fornecer orientação sobre como a tecnologia metaverse transformará a maneira como todas as indústrias se comunicam e fazem negócios em 4 de outubro em San Francisco, CA.
Registre-se aqui
Uma nova abordagem
Para resolver o problema crescente, Chainguard anunciou hoje Wolfi, uma nova comunidade Linux (des)distribuição. Ele combina aspectos de imagens de base de contêiner existentes com medidas de segurança padrão que incluirão assinaturas de software fornecidas pela Sigstore, proveniência e listas de materiais de software (SBOMs).
A empresa também está anunciando a Chainguard Academy, a primeira plataforma educacional gratuita, de código aberto e interativa projetada para segurança da cadeia de suprimentos de software. Além disso, sua plataforma Chainguard Enforce já está disponível para todos.
“Uma das maiores ameaças à segurança da cadeia de fornecimento de software é a maneira como construímos o software hoje”, disse Dan Lorenc, fundador e CEO da Chainguard. “As ferramentas que usamos para criar software não foram projetadas para a velocidade e a escala de seu uso, o que resulta em uma arquitetura desajeitada que é fácil para os maus atores explorarem ou adulterarem.”
Governos de todo o mundo estão fazendo perguntas e exigindo garantias em software. E enquanto os fornecedores – tanto os existentes quanto os novos – estão fornecendo ferramentas, eles não conseguem resolver o problema mais profundo: “A necessidade de uma mudança fundamental na forma como o software é construído”, disse Lorenc.
Mas primeiro: Identificando a cadeia de suprimentos de software
O mais recente relatório IBM 2022 Cost of a Data Breach Report forneceu uma das primeiras análises da segurança da cadeia de suprimentos, revelando que quase um quinto das organizações foram violadas devido a um comprometimento da cadeia de suprimentos de software.
Um dos maiores obstáculos: simplesmente reconhecer e identificar todas as diferentes maneiras pelas quais os maus atores podem explorar a cadeia de suprimentos de software, disse Norton.
Quando as pessoas dizem “segurança da cadeia de suprimentos de software”, geralmente pensam em explorar vulnerabilidades de software de código aberto, como o Log4Shell. Mas isso é apenas parte da superfície de ataque.
Alguns vetores de ataque da cadeia de suprimentos identificados pelo Norton incluem configurações incorretas e segredos codificados na infraestrutura como código (IaC) e configuração incorreta no pipeline de CI/CD que pode expor informações confidenciais ou pode ser usado como ponto de entrada para atividades maliciosas. Outra ameaça são as credenciais de desenvolvedor comprometidas, geralmente o resultado de uma governança ruim ou falha na aplicação dos princípios de privilégios mínimos.
Depois, existem ferramentas e técnicas de hacking que estão prontamente disponíveis na web. “Habilidades avançadas não são necessárias para alguém violar a cadeia de fornecimento de software da sua empresa”, disse Norton.
A boa notícia é que, com o aumento das ocorrências de explorações – e, com elas, a crescente conscientização – o mercado da cadeia de suprimentos de software é “um domínio em evolução” com novos concorrentes entrando constantemente no espaço, disse ela.
Construindo a segurança desde o início
Como Lorenc explicou, a maioria das cargas de trabalho atuais executadas em contêineres e distribuições foram projetadas para uma era anterior. Isso, juntamente com novos riscos de segurança da cadeia de suprimentos, expôs grandes lacunas ao executar contêineres.
Por exemplo, as imagens de contêineres tendem a ficar atrás das atualizações upstream, o que significa que os usuários estão instalando pacotes manualmente ou fora dos gerenciadores de pacotes e executando imagens com vulnerabilidades conhecidas, disse ele. Muitas imagens de contêiner não têm informações de procedência, dificultando a verificação de sua origem ou se alguém as adulterou. Naturalmente, isso aumenta a superfície de ataque.
“A única maneira de resolver esses problemas é construir uma distribuição projetada para ambientes nativos de contêiner/nuvem”, disse Lorenc.
Wolfi é uma distribuição específica de contêiner que pode “simplificar muito” o processo, eliminando o suporte para recursos de distribuição tradicionais – e muitas vezes irrelevantes, disse ele. Ele também permite que os desenvolvedores compreendam a natureza imutável dos contêineres e evitem atualizações de pacotes completamente, em vez de reconstruir do zero com novas versões.
“A realidade é que o software tem vulnerabilidades e isso nunca vai mudar”, disse Lorenc. “E para começar a melhorar a segurança da cadeia de suprimentos de software, devemos começar onde o desenvolvimento começa – com os desenvolvedores – e fornecer ferramentas que tornem o ciclo de vida do desenvolvimento seguro por padrão, desde a construção até a produção.”
Os requisitos de uma cadeia de suprimentos de software moderna
A Wolfi permite imagens Chainguard criadas especificamente com componentes mínimos para ajudar a reduzir a superfície de ataque de uma empresa e gerar SBOMs no momento do desenvolvimento, disse Lorenc. É completamente reproduzível por padrão, o que significa que cada pacote pode ser reconstruído a partir do código-fonte do Chainguard.
“Isso significa que um usuário receberá o mesmo pacote”, disse ele. Ele também permite que os desenvolvedores criem imagens “à prova de adulteração e confiáveis”.
A empresa está produzindo um SBOM no início da construção do software – não após o fato, apontou ele. A base é segura por padrão, é dimensionada para dar suporte a organizações que executam ambientes massivos e fornece o controle necessário para corrigir as ameaças mais modernas da cadeia de suprimentos.
“Os SBOMs de engenharia reversa não vão funcionar e vão anular o propósito deles antes mesmo que possam ser usados efetivamente”, disse Lorenc. “Wolfi ajuda a resolver esse problema.”
O Chainguard Enforce também já está disponível para todos. A plataforma de gerenciamento de risco da cadeia de suprimentos foi lançada como um programa de acesso antecipado em abril. Ele agora inclui novos recursos, como o modo “sem agente”, uma interface de usuário redesenhada com métricas de segurança, certificação SOC2 Tipo 1, políticas de segurança selecionadas e alertas e integrações com CloudEvents, OPA Gatekeeper e Styra, provedor Terraform e Vault.
Uma visão mais holística
Ao todo, as organizações devem “olhar de forma mais holística” para a segurança da cadeia de suprimentos de software, disse Norton.
“Focar apenas uma dimensão da cadeia de fornecimento de software é inescalável e inadequado”, disse ela. “Todos os vetores de ataque da cadeia de suprimentos de software são inter-relacionados e interdependentes.”
Portanto, além de proteger componentes independentes de seus aplicativos, as organizações devem bloquear e proteger todos os pontos de entrada digital em suas fábricas de software.
“Proteger apenas um ponto de entrada de ataque é o equivalente a trancar a porta da frente de sua casa enquanto deixa a porta dos fundos aberta”, disse Norton.
As organizações devem encontrar ferramentas abrangentes que forneçam proteção em todo o ciclo de vida de desenvolvimento de software. Os fornecedores estabelecidos de DevSecOps e testes de segurança de aplicativos estão incorporando cada vez mais a segurança da cadeia de suprimentos de software em suas plataformas maiores, de modo que as organizações devem procurar seus parceiros atuais para entender seus recursos, disse ela. Ao mesmo tempo, o número crescente de startups que atacam esse desafio não deve ser menosprezado.
No futuro, orientações e regulamentações do governo dos EUA – como a Ordem Executiva de Biden para melhorar a segurança cibernética da nação, orientações do Instituto Nacional de Padrões e Tecnologia (NIST) e memorandos do Escritório de Administração e Orçamento – continuarão a ser forças incrivelmente poderosas . Ela os credita como um “contribuinte significativo para a rapidez com que a segurança da cadeia de suprimentos de software se tornou uma prioridade”.
“Não são apenas os fornecedores de software que vendem para o governo que serão afetados – haverá impactos a jusante”, disse Norton. “À medida que mais fornecedores de software adotam esses padrões, as organizações não governamentais esperam a mesma diligência.”
A educação é fundamental
O que agrava ainda mais o problema de segurança da cadeia de suprimentos é a falta de educação abrangente, disse Lisa Tagliaferri, chefe de educação para desenvolvedores da Chainguard. Essa é uma barreira para a adoção mais ampla das recomendações de segurança da cadeia de suprimentos de software e se deve a um “cenário técnico em constante mudança” e à falta de ferramentas de código aberto como a Sigstore.
Isso motivou a Chainguard Academy, que fornece recursos educacionais gratuitos e práticas recomendadas para ferramentas de segurança da cadeia de suprimentos de software.
“Uma força motriz por trás de nosso esforço foi fornecer aos engenheiros de software e líderes de tecnologia os recursos necessários para identificar, mitigar e corrigir vulnerabilidades de software por meio de ferramentas e soluções que lhes permitam abordar a segurança com antecedência e com frequência em todo o ciclo de vida de desenvolvimento”, disse Tagliaferri.
A Academia baseia-se nos esforços educacionais anteriores da empresa, incluindo o curso Protegendo sua cadeia de suprimentos de software com Sigstore em parceria com a Linux Foundation e a edX.
Os desenvolvedores que usam a Chainguard Academy também poderão trabalhar com Sigstore e imagens de contêiner sem distros diretamente de seus navegadores por meio de um terminal sandbox interativo.
“Acreditamos que uma parte fundamental para tornar a cadeia de suprimentos de software segura por padrão é ajudar a fechar essa lacuna de habilidades”, disse Tagliaferri. “Para atingir esse objetivo, era importante que mantivéssemos recursos educacionais críticos abertos a todos, porque todos temos que fazer nossa parte para ajudar a resolver o problema de segurança da cadeia de suprimentos de software.”
A missão do VentureBeat é ser uma praça digital para os tomadores de decisões técnicas adquirirem conhecimento sobre tecnologia empresarial transformadora e realizarem transações. Conheça nossos Briefings.
Fonte: venturebeat.com
