Wolfi: la primera distribución de Linux que garantiza la seguridad de la cadena de suministro de software

Desde la firma de software hasta las imágenes de contenedores y una nueva distribución de Linux, un conjunto emergente de OSS está brindando a los desarrolladores pautas para gestionar la integridad de los sistemas de compilación y los artefactos de software.

Wolfi: la primera distribución de Linux que garantiza la seguridad de la cadena de suministro de software - Seguridad | Imagen 1 Newsmatic

SolarWinds y Log4j fueron los incendios de cinco alarmas que despertaron a la industria sobre la inseguridad de nuestros artefactos de software y sistemas de compilación, el problema de la "seguridad de la cadena de suministro de software". Pero ha sido un terreno confuso para que los desarrolladores y los equipos de ingeniería de seguridad descubran los pasos reales para proteger sus entornos de compilación.

La Orden Ejecutiva de Ciberseguridad de la Casa Blanca de mayo de 2021 predijo la llegada de las especificaciones de materiales de software, que son básicamente una lista de ingredientes de lo que hay dentro de un paquete de software y establecerán procesos de certificación y divulgación que deberán cumplirse para la adquisición de tecnología gubernamental.

A pesar de los mejores esfuerzos de los proveedores de seguridad para blanquear sus productos en torno a la seguridad de la cadena de suministro de software, todavía no está claro cómo se supone que cualquiera debe construir o mantener estos materiales de software. Los últimos memorandos enviados a los jefes de las agencias federales simplemente subrayan "la importancia de entornos de desarrollo de software seguros" sin mucha elaboración útil sobre cómo lograrlo.

Pero Linux, una vez más, podría ayudar a resolver el dilema.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel
Índice de Contenido
  1. Un dominio de seguridad complicado en busca de las mejores prácticas
  2. Una nueva respuesta desde un conjunto emergente
  3. Linux para el rescate, una vez más
  4. Qué significa este conjunto para la seguridad hacia la izquierda

Un dominio de seguridad complicado en busca de las mejores prácticas

La historia muestra que los desarrolladores cumplirán con los procesos que eliminen la incertidumbre de la seguridad de los sistemas, pero solo si hay un camino claro y prescriptivo que se pueda seguir con interrupciones mínimas en su flujo de trabajo. Por ejemplo, Let's Encrypt es una autoridad de certificación que facilitó lo que antes era un campo confuso y engorroso en seguridad de la capa de transporte. Let's Encrypt tuvo una gran adopción por parte de los desarrolladores y aseguró el TLS para la mayoría de la web en un período muy corto de tiempo.

Pero este problema de seguridad de la cadena de suministro de software es mucho más complejo que TLS. Afecta a los sistemas de compilación, CI/CD, los lenguajes de programación y sus registros, todos los marcos que utilizan los desarrolladores y sus cadenas de custodia. En el corazón de este desafío se encuentra la ubicuidad del software de código abierto, la naturaleza transitoria de los marcos de OSS que se comparten en todos los sistemas que los desarrolladores están construyendo y la falta de apoyo que suelen recibir los proyectos de OSS masivamente populares.

Se ha hablado mucho y se han hecho proclamaciones ruidosas sobre la gravedad del problema. Pero, ¿qué se supone que debe hacer un desarrollador o ingeniero de seguridad en realidad?

Una nueva respuesta desde un conjunto emergente

No hay cantidad de dinero que se pueda solucionar el desafío de la seguridad de la cadena de suministro de software y la complejidad de incentivar a los mantenedores de OSS a hacer lo correcto (lo seguro). Lo que se necesitan son las herramientas adecuadas que pongan la seguridad en manos de los desarrolladores, al tiempo que protegen el proceso de asegurar las cadenas de suministro de software.

En los últimos meses, han surgido proyectos de código abierto que abordan aspectos clave de este desafío de la cadena de suministro de software. Se está formando un nuevo conjunto de herramientas y creo que estamos a punto de ver conversaciones teóricas sobre la seguridad de la cadena de suministro de software transformarse en implementaciones reales y en la mejora de las mejores prácticas.

En primer lugar, Sigstore, un proyecto de código abierto con origen en Google que se centra en la firma de software y raíces de confianza para los artefactos, se ha convertido en el método de facto que utilizan oficialmente los tres principales registros de lenguajes de programación. Recientemente, GitHub anunció que está utilizando Sigstore para los paquetes npm de JavaScript, Python está utilizando Sigstore para su registro de PyPi y Java está utilizando Sigstore para Maven. A principios de este verano, Kubernetes también se envió con Sigstore.

Cómo proteger tu computadora de los virus: métodos y consejos

En segundo lugar, SLSA, pronunciado "Salsa", y el Marco de Desarrollo de Software Seguro están experimentando una adopción masiva como marcos que guían explícitamente el proceso de asegurar la seguridad de la cadena de suministro de software. En su informe reciente, la NSA, la CISA y ODNI, pesos pesados de la seguridad nacional de EE. UU., hicieron referencia a SLSA y SSDF 14 y 38 veces respectivamente en la guía para desarrolladores "Asegurando la cadena de suministro de software".

Una nueva distribución llamada Wolfi podría ser una pieza clave crucial del rompecabezas.

Linux para el rescate, una vez más

Dan Lorenc y Kim Lewandowski son el dúo dinámico detrás de Sigstore, SLSA y otros esfuerzos de código abierto relacionados que co-crearon en sus roles formales en Google. Con la misión de hacer que la cadena de suministro de software sea segura de forma predeterminada en la startup, cofundaron Chainguard. Hoy lanzaron la primera distribución de Linux diseñada específicamente para la seguridad de la cadena de suministro de software: Wolfi.

¿Por qué una nueva distribución? Se reduce a que los enfoques actuales para las vulnerabilidades y exposiciones críticas tienen un gran punto ciego. Las distribuciones de Linux y los gestores de paquetes a menudo no distribuyen las versiones más actuales de los paquetes de software y los desarrolladores suelen instalar aplicaciones fuera de estos límites. La proliferación de contenedores y la capacidad de lanzar aplicaciones modernas mucho más rápido que las distribuciones existentes también ha llevado a un número creciente de usuarios que alojan su propio kernel de Linux. Los escáneres que utilizan los proveedores de seguridad no pueden encontrar estas imágenes de contenedores si se instalaron fuera de los gestores de paquetes o distribuciones, y por lo tanto no detectan una clase completa de vulnerabilidades en su interior.

Por qué esto importa es obvio: no se puede medir la seguridad de los artefactos de software que ni siquiera sabes que se están ejecutando en tu entorno, esa fue una de las grandes conclusiones de la vulnerabilidad de Log4j que hizo que los desarrolladores e ingenieros de seguridad se esforzaran.

Wolfi tiene como objetivo solucionar esto. Wolfi es una distribución no convencional que Chainguard ha construido desde su origen con certificados de materiales de software y firmas digitales, y cumpliendo con todos los pasos desde los paquetes originales hasta las imágenes finales de los contenedores. Al utilizar Wolfi, argumenta Chainguard, los desarrolladores no tienen que realizar análisis binarios, y los certificados de materiales de software se crean durante la compilación del software, no después.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

A principios de este año, Chainguard anunció Chainguard Images, las primeras imágenes de contenedor sin distribución diseñadas para una cadena de suministro de software segura. Las imágenes de Chainguard se actualizan continuamente y se esfuerzan por tener cero vulnerabilidades conocidas. Con Wolfi, han creado una distribución de Linux comunitaria creada con medidas de seguridad predeterminadas para la cadena de suministro de software. Se lanza hoy con imágenes de base para binarios independientes, aplicaciones como nginx y herramientas de desarrollo como Go y compiladores de C.

¿Por qué una 'no distribución'? Según Chainguard: "Los contenedores son inmutables por naturaleza (por lo que no se requieren actualizaciones/downgrades) y el kernel es proporcionado por el host (simplificando aún más los gestores de paquetes). En resumen, las distribuciones no fueron diseñadas para la forma en que se construye el software hoy en día".

Qué significa este conjunto para la seguridad hacia la izquierda

A principios de los años 2000, la aparición del stack LAMP (Linux, Apache, MySQL, Perl y Python) fue un catalizador importante para el surgimiento de las aplicaciones web modernas y brindó a los desarrolladores un conjunto estable y familiar de herramientas que generaron una de las mayores olas de innovación que la industria tecnológica ha visto.

La evolución actual que estamos presenciando en torno a la cadena de suministro de software tiene un aire similar. Sabemos que la seguridad se ha estado desplazando gradualmente hacia los desarrolladores, sabemos que se necesitan más medidas de seguridad para ayudar a los desarrolladores a introducir más seguridad en sus entornos de compilación, pero ha sido un ámbito muy confuso para descifrar.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Wolfi: la primera distribución de Linux que garantiza la seguridad de la cadena de suministro de software , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.