[ad_1]
Sau năm 2020 Chiến dịch gián điệp mạng của SolarWinds trong đó tin tặc Nga đã đánh cắp các bản cập nhật bị nhiễm độc vào một nền tảng quản lý CNTT được sử dụng rộng rãi, một loạt các cuộc tấn công chuỗi cung ứng phần mềm khác đã tiếp tục cho thấy nhu cầu cấp thiết phải khóa các chuỗi hành trình phần mềm. Và vấn đề đặc biệt cấp bách trong mã nguồn mở, nơi mà các dự án vốn đã được phân cấp và thường là những nỗ lực đột xuất. Sau một loạt các thỏa hiệp đáng lo ngại đối với các gói phần mềm JavaScript được tải xuống rộng rãi từ sổ đăng ký “npm” nổi bật, thuộc sở hữu của GitHub, công ty đã đưa ra một kế hoạch trong tuần này để cung cấp các biện pháp bảo vệ mở rộng cho bảo mật nguồn mở.
GitHub, bản thân thuộc sở hữu của Microsoft, đã thông báo vào thứ Hai rằng họ có kế hoạch hỗ trợ ký mã, một loại con dấu sáp kỹ thuật số, cho các gói phần mềm npm sử dụng nền tảng ký mã Sigstore. Công cụ này đã phát triển nhờ sự hợp tác giữa các ngành để giúp các nhà bảo trì mã nguồn mở dễ dàng hơn nhiều trong việc xác minh rằng mã mà họ tạo ra có phải là mã giống nhau trong các gói phần mềm thực sự được mọi người trên toàn thế giới tải xuống hay không.
Justin Hutchings, giám đốc quản lý sản phẩm của GitHub cho biết: “Mặc dù hầu hết các gói npm đều là mã nguồn mở, nhưng hiện tại không có gì đảm bảo rằng một gói trên npm được xây dựng từ cùng một mã nguồn đã được xuất bản. “Các cuộc tấn công vào chuỗi cung ứng đang gia tăng và việc thêm thông tin xây dựng đã ký vào các gói mã nguồn mở xác nhận nguồn gốc của phần mềm và cách nó được xây dựng là một cách tuyệt vời để giảm thiểu bề mặt tấn công”.
Nói cách khác, tất cả chỉ nhằm tạo ra một trò chơi điện thoại minh bạch và được xác minh bằng mật mã.
Dan Lorenc, Giám đốc điều hành của Chainguard, công ty đồng phát triển Sigstore, nhấn mạnh rằng mặc dù GitHub không phải là thành phần duy nhất của hệ sinh thái mã nguồn mở, nhưng đó là một quảng trường thị trấn hoàn toàn quan trọng đối với cộng đồng vì đó là nơi mà phần lớn các dự án lưu trữ và xuất bản mã nguồn. Tuy nhiên, khi các nhà phát triển thực sự muốn tải xuống các ứng dụng hoặc công cụ nguồn mở, họ thường chuyển đến trình quản lý gói
“Bạn không cài đặt mã nguồn trực tiếp, bạn thường cài đặt một số dạng đã biên dịch của nó, vì vậy có điều gì đó đã xảy ra giữa mã nguồn và việc tạo gói. Và cho đến nay, toàn bộ bước đó chỉ là một hộp đen trong mã nguồn mở, ”Lorenc giải thích. “Bạn nhìn thấy mã và sau đó tải xuống gói, nhưng không có gì chứng minh rằng gói đến từ mã đó hoặc cùng một người có liên quan, vì vậy đó là những gì GitHub đang sửa.”
Bằng cách cung cấp Sigstore cho các nhà quản lý gói, có nhiều tính minh bạch hơn ở mọi giai đoạn trong hành trình của phần mềm và các công cụ Sigstore giúp các nhà phát triển quản lý các yêu cầu và kiểm tra mật mã khi phần mềm di chuyển qua chuỗi cung ứng. Lorenc nói rằng nhiều người bị sốc khi biết rằng những kiểm tra tính toàn vẹn này vẫn chưa được áp dụng và rất nhiều hệ sinh thái nguồn mở đã dựa vào sự tin tưởng mù quáng trong một thời gian dài. Vào tháng 5 năm 2021, Nhà Trắng Biden đã ban hành một lệnh hành pháp đề cập cụ thể đến vấn đề bảo mật chuỗi cung ứng phần mềm.
