Le gouvernement américain a publié de nouvelles directives pour les développeurs visant à améliorer la sécurité de la chaîne d’approvisionnement des logiciels et, ce faisant, à rendre l’infrastructure critique du pays plus résiliente.
Le document, Sécuriser la chaîne d’approvisionnement logicielle pour les développeurs, a été publié par la National Security Agency (NSA), la Cybersecurity and Infrastructure Security Agency (CISA) et le Bureau du directeur du renseignement national (ODNI) dans le cadre de l’initiative Enduring Security Framework (ESF).
“Alors que la cyber-menace continue de devenir plus sophistiquée, les adversaires ont commencé à attaquer la chaîne d’approvisionnement des logiciels, plutôt que de s’appuyer sur des vulnérabilités connues du public. Cette compromission de la chaîne d’approvisionnement permet aux acteurs malveillants de se déplacer sur les réseaux sans être détectés. Afin de contrer cette menace, la communauté de la cybersécurité doit se concentrer sur la sécurisation du cycle de vie du développement logiciel », ont-ils déclaré.
“Les développeurs trouveront des conseils utiles de la NSA et de ses partenaires sur le développement de code sécurisé, la vérification des composants tiers, le renforcement de l’environnement de construction et la livraison du code. Tant que tous les DevOps ne seront pas des DevSecOps, le cycle de vie du développement logiciel sera menacé. »
Le document a été stimulé par l’expérience du gouvernement de la campagne SolarWinds, dans laquelle des acteurs étatiques russes ont réussi à compromettre au moins neuf agences gouvernementales américaines dans une attaque hautement sophistiquée de la chaîne d’approvisionnement en logiciels.
S’appuyant sur les recommandations de l’industrie et du gouvernement, le document regroupe des ressources utiles en un seul endroit pour aider à optimiser la sécurité dans le développement de logiciels.
Bien que l’attaque de SolarWinds ait été rendue possible par la compromission d’un fournisseur de logiciels privé, un maillon faible de plus en plus ciblé dans la chaîne d’approvisionnement est constitué par les référentiels open source.
Un fournisseur a observé une augmentation de 650 % d’une année sur l’autre du nombre d’acteurs malveillants injectant délibérément de nouvelles vulnérabilités dans ces bibliothèques tierces, afin qu’elles puissent être exploitées en aval.
À cette fin, l’Open Source Security Foundation (OpenSSF) publié hier un nouveau Bonnes pratiques npm guide pour le célèbre écosystème open source qui comprend désormais plus de deux millions de packages.
« npm est le plus grand écosystème de packages existant ; en fait, l’écosystème npm est considéré comme plus grand que la plupart des autres écosystèmes de langage de programmation importants combinés », a écrit OpenSSF.
“Le guide fournit un aperçu des fonctionnalités de sécurité de la chaîne d’approvisionnement disponibles dans npm, décrit les risques associés à l’utilisation des dépendances et expose les meilleures pratiques pour réduire ces risques à différentes étapes du projet.”
