Google lança ferramenta AllStars que ajuda desenvolvedores com segurança

À medida que os invasores cada vez mais visam os componentes de código aberto como uma forma de comprometer a cadeia de suprimentos de software, as empresas estão se preparando para oferecer ferramentas e serviços gratuitos para desenvolvedores que mantêm projetos de software.

À medida que os invasores cada vez mais visam os componentes de código aberto como uma forma de comprometer a cadeia de suprimentos de software, as empresas estão se preparando para oferecer ferramentas e serviços gratuitos para desenvolvedores com quem mantêm os projetos de software.

O Google anunciou sua mais recente ajuda para desenvolvedores, uma ferramenta que automatiza tarefas de segurança e verifica os atributos do projeto para garantir que a segurança de um projeto de código aberto não tenha alterações. Chamada AllStars, a ferramenta usa a API do GitHub para verificar o estado atual do projeto, as configurações do branch de desenvolvimento e outros atributos para garantir que os aspectos críticos do projeto não tenham sofrido alterações.

Junto com outra ferramenta do Google chamada Scorecard, AllStars garante aos mantenedores do projeto que suas configurações de segurança permanecem corretas, diz Jeff Mendoza, chefe de engenharia do Allstar for Google. O Scorecard mede projetos em 18 critérios diferentes, para verificar se estão sendo mantidos ativamente, se estão atualizando as dependências automaticamente ou se estão usando um sistema de “fuzzing” para descobrir vulnerabilidades fáceis de encontrar.

“O Scorecard tenta iluminar a adoção e encoraja uma pontuação alta”, diz ele. “Allstar ajuda quando seu projeto ou organização abrange muitos repositórios e é muito complicado garantir que todas as configurações e práticas corretas sejam configuradas em cada repositório.”

OSSF

O Google lançou a ferramenta esta semana sob os auspícios da Open Software Security Foundation (OpenSSF), que manterá uma instância AllStar que qualquer um pode instalar e usar, de acordo com o anúncio do OpenSSF. O software também está disponível para que outros criem como uma instância.

O software verifica continuamente um repositório GitHub em relação ao estado esperado para encontrar quaisquer alterações que possam afetar a segurança. As configurações do repositório, ramificações de desenvolvimento e fluxo de trabalho são verificadas em relação às políticas de segurança do projeto e, quando as configurações e a política não correspondem, o software pode realizar a imposição de ações. Ao monitorar automática e continuamente as configurações de segurança do projeto, o software pode detectar mudanças que poderiam passar despercebidas, declarou o OpenSSF em seu anúncio.

À medida que os invasores cada vez mais visam os componentes de código aberto como uma forma de comprometer a cadeia de suprimentos de software, as empresas estão se preparando para oferecer ferramentas e serviços gratuitos para desenvolvedores que mantêm projetos de software.

“Com a enorme popularidade do código aberto, os invasores veem um projeto que tenha sido comprometido como uma forma de se infiltrar em sistemas abertos e fechados”, diz ele. “Uma vez que o código aberto raramente é um sistema em execução ao vivo, os ataques normalmente ocorrem no lado da cadeia de suprimentos: comprometendo a base do código ou injetando em algum lugar entre o código e onde o projeto foi construído e está sendo usado em outros sistemas.”

Junto com o Scorecard, as novas ferramentas AllStars oferecem aos desenvolvedores uma maneira de monitorar e proteger seus projetos de software. Os desenvolvedores podem executar o Scorecard em seus projetos para ver onde estão e, em seguida, criar políticas que podem ser verificadas e monitoradas automaticamente pelo AllStars. O Scorecard, por exemplo, verifica se há arquivos binários incluídos em um projeto, que não são legíveis por humanos e, portanto, representam risco. O AllStars pode então monitorar o projeto continuamente, procurando por quaisquer mudanças que adicionem arquivos binários ao projeto.

O objetivo é “executar Scorecards em seus repositórios e dependências [e] ver onde seu projeto está, e assim, definir um padrão elevado”, diz Mendoza. “Se você tem uma grande organização ou muitos repositórios, consulte o Allstar para ajudá-lo a manter suas configurações no lugar.”

Os desenvolvedores que pretendem adotar as ferramentas devem primeiramente usar o teste automatizado de atualizações de dependência por meio de ferramentas como o Dependabot para encontrar componentes de software com baixa segurança que são incorporados aos projetos dos desenvolvedores.

Uma questão que pode ser levantada é: o lançamento de ferramentas simples para rastrear o estado de segurança do software de código aberto será suficiente? Melhorar a segurança de tais componentes não é difícil; requer apenas as ferramentas e os desenvolvedores certos para usá-los, diz Mendoza.

“Os ataques à cadeia de suprimentos que vimos foram analisados ​​e muitos poderiam ter sido evitados se os desenvolvedores seguissem as melhores práticas existentes”, diz ele. “As soluções para esses problemas não são desconhecidas nem difíceis. O problema que vemos é a adoção, nem todos os projetos estão usando as ferramentas e procedimentos para alcançar a mais alta segurança.”

Consulte o anúncio do OpenSSF para obter mais informações sobre o Allstar.

Fonte: www.darkreading.com

Posts relacionados: Google apresenta: Segurança por Design / Guia passo-a-passo para instalar o certificado SSL/TLS gratuito da Let’s Encrypt no seu site e Let’s Encrypt recomenda Certbot para instalação de certificados