Gemeinsam mit der US-amerikanischen Cybersecurity-Behörde CISA hat die Open Source Security Foundation (OpenSSF) die Principles for Package Repository Security (Richtlinien für die Sicherheit von Paketverwaltungsdiensten) veröffentlicht. Das Regelwerk soll dazu beitragen, die Sicherheit von Paket-Registries zu analysieren und zu erhöhen.
In vielen Unternehmen werden für ihre Softwareprojekte externe Open-Source-Pakete von Plattformen wie npm für JavaScript oder PyPI für Python genutzt. Im Zuge dessen treten regelmäßig Code-Schwachstellen in den Paketen auf, die sowohl durch Bugs als auch durch absichtlich eingefügten Schadcode verursacht werden.
Das neue Framework beinhaltet Richtlinien für vier Bereiche, um den Sicherheitslevel der Plattformen zu bewerten: Authentifizierung, Autorisierung, allgemeine Eigenschaften und das Kommandozeilen-Tooling. Für jede Kategorie werden vier Stufen der Reife vergeben, beginnend von Level 0 (sehr geringe Sicherheit) über Level 1 (grundlegende Sicherheit) und Level 2 (moderate Sicherheit) bis hin zu Level 3 (erweiterte Sicherheit).
Ein entscheidendes Kriterium ist die Multi-Faktor-Authentifizierung (MFA): Level 1 erfordert, dass Registries sie unterstützen, Level 2 bedeutet, dass sie für kritische Pakete erforderlich ist, und Level 3 bedeutet, dass alle Maintainer sich mittels MFA anmelden müssen. Die Richtlinien berücksichtigen auch, ob die Paket-Registries User-Accounts verwalten und ob sie fertige Pakete akzeptieren, den Build-Prozess vom Sourcecode übernehmen oder lediglich den Sourcecode verwalten. Je nachdem gibt es verschiedene Kategorien für die Dienste, da beispielsweise Authentifizierung nur für Dienste mit Benutzerkonten relevant ist.
Zu den allgemeinen Sicherheitsrichtlinien, die für alle Registries gelten, gehört unter anderem die Meldung von Schwachstellen, der Zugang für externe Sicherheitsforscher und die Durchführung regelmäßiger Sicherheitsüberprüfungen der Dienste.
Aktuell hat das Dokument Principles for Package Security die Versionsnummer 0.1. Ein Pull Request im GitHub-Repository der Arbeitsgruppe wurde erstellt, um Feedback für den nächsten Schritt zur Version 0.2 zu sammeln. Weitere Informationen können dem Blogbeitrag der OpenSSF zum Start des Frameworks entnommen werden.
Schlagwörter: OpenSSF + MFA + CISA
Wie bewerten Sie den Schreibstil des Artikels?