Alat baru dan gratis menambahkan lapisan keamanan untuk rantai pasokan perangkat lunak
Software

Alat baru dan gratis menambahkan lapisan keamanan untuk rantai pasokan perangkat lunak


Kredit: CC0

Rantai pasokan perangkat lunak telah lama menjadi target utama serangan dunia maya, menempatkan server, perangkat IoT, komputer pribadi, dan peralatan yang terhubung dari perangkat yang disematkan secara bedah hingga avionik yang berisiko disabotase. Risiko ini akan meningkat secara dramatis dengan peluncuran global teknologi baru seperti telekomunikasi 5G, dan alat baru akan diperlukan untuk memastikan keamanan dan keaslian proyek perangkat lunak. Dengan latar belakang ini, in-toto, alat sumber terbuka yang dikembangkan oleh para peneliti di NYU Tandon School of Engineering yang memberikan tingkat jaminan yang belum pernah terjadi sebelumnya terhadap serangan semacam itu, mengumumkan telah mencapai tonggak sejarah yang signifikan dengan merilis versi utama pertamanya.

In-toto, kerangka kerja gratis dan mudah digunakan yang secara kriptografis memastikan integritas rantai pasokan perangkat lunak, dikembangkan pada tahun 2016 oleh Justin Cappos, seorang profesor ilmu komputer dan teknik, dan Santiago Torres-Arias, mantan Ph. D. mahasiswa di NYU Tandon, sekarang menjadi profesor di Universitas Purdue. Sejak kemunculannya, in-toto telah diadopsi atau diintegrasikan ke dalam beberapa proyek perangkat lunak sumber terbuka utama, termasuk yang dihosting oleh Cloud Native Computing Foundation, bagian dari Linux Foundation. Dengan dirilisnya versi 1.0, in-toto telah mencapai tingkat kematangan di mana pengembangnya dapat memastikan kualitasnya, dan menjamin keamanannya bagi calon pengadopsi.

Seperti blockchain untuk proses pengembangan perangkat lunak, in-toto memastikan bahwa semua langkah yang dilakukan pada perangkat lunak selama siklus desain dan pengembangannya dapat dipercaya dengan memberikan informasi yang penting untuk keamanan. Karena sifat pengembangan perangkat lunak yang terdesentralisasi, proses multi-langkah penulisan, pengujian, pengemasan, dan penerapan perangkat lunak baru memberikan banyak peluang bagi penyerang untuk memasukkan kode berbahaya atau membahayakan produk jadi. Dalam eksperimen yang dilakukan tahun lalu yang menciptakan kembali lebih dari 30 gangguan rantai pasokan perangkat lunak kehidupan nyata yang berdampak pada ratusan juta pengguna, tim NYU Tandon menemukan bahwa in-toto akan secara efektif mencegah setidaknya 83% dari serangan tersebut.

Torres-Arias, yang memimpin proyek in-toto dan membuat disertasinya tentang topik tersebut, pertama kali mempresentasikan karyanya pada Agustus 2019 di USENIX Security Symposium. Makalah, “In-toto: Memberikan jaminan farm-to-table untuk bit dan byte” tersedia untuk umum.

“Saat bergerak dari pengembangan ke pengujian ke pengemasan, dan akhirnya ke distribusi, perangkat lunak melewati sejumlah tangan,” tegas Torres-Arias. “Dengan mewajibkan setiap langkah dalam rantai ini sesuai dengan tata letak yang ditentukan oleh pengembang, ini menegaskan kepada pengguna akhir bahwa produk tersebut belum diubah untuk tujuan jahat, seperti dengan menambahkan pintu belakang di kode sumber.”

“Serangan-serangan ini sangat umum,” Cappos menjelaskan, menambahkan bahwa setelah perangkat lunak yang dikompromikan diunduh atau diinstal, hanya ada sedikit pengguna atau pengembang perangkat lunak yang dapat melakukan selain menilai kerusakan. Menurut Sonatype’s 2020 State of the Software Supply Chain Report, pada tahun 2020 terjadi peningkatan 430% dalam serangan rantai pasokan perangkat lunak generasi berikutnya sejak laporan perusahaan pada tahun 2019.

In-toto bekerja dengan mengizinkan setiap perusahaan atau organisasi untuk menetapkan seperangkat aturan atau protokol yang harus diikuti — dan oleh siapa — selama setiap langkah pengembangan perangkat lunak. Saat setiap langkah diselesaikan, in-toto mengumpulkan metadata tautan — pernyataan yang dapat diverifikasi secara kriptografi yang membuktikan bahwa langkah tersebut dilakukan sesuai dengan pedoman. Proses ini menghindari perangkap keamanan umum dalam rantai pasokan perangkat lunak; yaitu, sulit untuk melacak aktivitas berbahaya yang terjadi selama langkah pengembangan atau pengemasan tertentu daripada selama transisi dari satu langkah ke langkah lainnya. Metadata tautan memberikan kontrol tingkat tinggi atas proses tersebut, memastikan bahwa meskipun terjadi kompromi, itu dapat dilokalkan dan dampaknya terbatas.

In-toto telah berkolaborasi dengan komunitas open source seperti Git, Docker, Datadog, dan OpenSUSE. Ini juga merupakan bagian dari Cloud Native Application Bundle (CNAB), sebuah proyek sumber terbuka yang memfasilitasi bundling, menginstal, dan mengelola aplikasi container-native. Ralph Squillace, Manajer Program Utama untuk tim Platform Aplikasi Microsoft Azure Computer dan kontributor CNAB, mencatat bahwa in-toto dipilih untuk pendekatan pengesahan rantai pasokan spesifikasi di v1.0 “justru karena itu open-source dan diterapkan secara tepat ke masalah kepercayaan rantai pasokan yang diharapkan komunitas untuk aplikasi terdistribusi di dunia nyata. ” Ia menambahkan bahwa “ada banyak cara yang mungkin untuk menangani masalah, tetapi in-toto dapat digunakan di mana saja dan dikembangkan di depan umum oleh komunitas yang terlibat. Kami berharap dapat memperluas penggunaannya dan mendukungnya dalam pekerjaan kami ke depan.”

Trishank Kuppusamy (Ph.D., ’17), yang bekerja pada proyek tersebut dan sekarang menjadi staf insinyur keamanan di Datadog menunjukkan bahwa apa yang membedakan in-toto dari sistem keamanan lain adalah bahwa “telah dirancang terhadap model ancaman yang sangat kuat yang mencakup penyerang negara-bangsa. “

Tim pengembangan in-toto juga termasuk pengembang Lukas Pühringer, Ph.D. mahasiswa Aditya Sirish, dan mahasiswa sarjana Yuanrui Chen, Isha Vipul Dave, Kristel Fung, Cindy Kim dan Benjamin Wu, semuanya dari Laboratorium Sistem Aman di NYU Tandon; dan mahasiswa doktoral Hammad Afzali Nanize dan Sangat Vaidya, bersama dengan Profesor dan wakil direktur Pusat Penelitian Keamanan Siber Reza Curtmola, semuanya dari Institut Teknologi New Jersey.

Cappos dan labnya berafiliasi dengan NYU Center for Cybersecurity di NYU Tandon. In-toto melanjutkan kemajuannya dalam perlindungan perangkat lunak sumber terbuka: Sebagian besar komputasi awan berskala besar dilindungi oleh The Update Framework (TUF), dan turunannya yang disebut Uptane digunakan oleh industri otomotif global untuk melindungi over-the-air pembaruan perangkat lunak untuk kendaraan. Keduanya juga merupakan proyek dari Cloud Native Computing Foundation Linux Foundation.

“Bersama dengan TUF, in-toto adalah satu-satunya sistem yang saya tahu yang menawarkan keamanan ujung ke ujung di mana saja antara pengembang dan pengguna akhir,” kata Kuppusamy.


Sistem sumber terbuka mengamankan pembaruan perangkat lunak ‘lulusan’ untuk melindungi layanan cloud terkemuka


Informasi lebih lanjut:
in-toto: Memberikan jaminan farm-to-table untuk bit dan byte: www.usenix.org/conference/usen… ntation / torres-arias

Disediakan oleh NYU Tandon School of Engineering

Kutipan: Alat baru dan gratis menambahkan lapisan keamanan untuk rantai pasokan perangkat lunak (2020, 15 Desember), diakses 15 Desember 2020 dari https://techxplore.com/news/2020-12-free-tool-layer-software-chain.html

Dokumen ini memiliki hak cipta. Selain dari transaksi yang adil untuk tujuan studi atau penelitian pribadi, tidak ada bagian yang boleh direproduksi tanpa izin tertulis. Konten disediakan untuk tujuan informasi saja.


Halaman Ini Di Persembahkan Oleh : Keluaran Singapore Hari Ini