保证开源软件生态系统安全的最新进展

关键要点

• CISA 正在推动安全的开源软件（OSS）生态系统，为组织提供可扩展的解决方案以评估其 OSS 依赖关系的可信度。
• 95% 的组织在过去一年中增加或维持了对开源软件的使用，反映出 OSS 在软件供应链中的重要性。
• OSS 生态系统面临独特的安全挑战，用户需要对软件的可信度进行持续的审查和监控。
• CISA 提出了一项四部分框架，用以帮助组织评估 OSS 的可信度。
• 推出了一款名为 Hipcheck 的开源工具，以便于自动化评估 OSS 组件的风险。

开源软件是软件供应链的关键组成部分，其使用量正不断增加。根据 OpenLogic的，95% 的组织在过去一年中增加或保持了对 OSS的使用。这表明，尽管开源软件在成本节约、功能性和开发灵活性方面带来了好处，但其生态系统仍面临独特的安全挑战。

CISA 指出，由于软件作者与用户之间缺乏供应商- 购买者关系，评估软件可信度的责任落在用户身上。他们必须认真监控所依赖的项目。此外，开源供应链也成为恶意攻击者的热门目标，这些攻击者可能通过破坏或模仿合法项目，甚至在推广他们自己看似合法的项目时悄然插入恶意组件。例如，便是一个案例。

上个月，再一次证明了开源项目如何“叛变”，强调了持续评估其可信度的必要性。同时，显示，流行的 jQuery 库在 npm、GitHub 和 jsDelivr上被植入了特洛伊木马，这突显了恶意行为者对开源存储库的长期和广泛的攻击。

在周一的一篇博客文章中，CISA 开源软件安全部门负责人 Aeva Black 概述了组织应使用的评估 OSS 可信度的四部分框架，评估的四个维度包括：

1. 项目： 谁是活跃的贡献者？账户所有权是否有突然变化？
2. 产品： 代码的健壮性如何？是否存在已知漏洞或不再维护的依赖项？
3. 保护措施： 项目所有者是否维护安全措施，例如要求开发者账户开启双因素认证？
4. 政策： 项目是否要求进行代码审查或提供负责任的漏洞披露流程？

为了维护安全的 OSS 生态系统，采用该框架的评估过程必须具有可扩展性，因为组织必须跟踪数量庞大的开源依赖关系。根据，一个应用程序中的平均开源组件数量达到 526，这使得对每个组件进行定期手动评估几乎不可能。

CISA 正在通过资助开发一款名为 的开源工具，使 OSS安全评估的任务变得更加可行。Hipcheck 由 MITRE Corporation 维护，能够快速分析 Git 源代码库和开源包，并标记高风险组件。

“Aeva Black 表示，“随着框架和支持工具的持续进展，我们将能够以更大规模评估 OSS的可信度，这最终将惠及联邦机构、关键基础设施以及广大美国公众。”