Wszechobecność oprogramowania open source
Oprogramowanie open source, czyli oprogramowanie dystrybuowane bezpłatnie wraz z kodem źródłowym, umożliwiającym kopiowanie, dodawanie lub modyfikowanie, jest wszechobecne.
Według raportu „Open Source Security and Risk Analysis Report” z 2023 roku, 96 proc. programów komputerowych używanych przez główne branże zawiera oprogramowanie open source, a 76 proc. tych programów składa się z oprogramowania otwartego. Jednakże, jak ostrzega raport, odsetek pakietów oprogramowania zawierających luki w zabezpieczeniach pozostaje niepokojąco wysoki.
Głównym problemem związanym z oprogramowaniem open source, pochodzącym od zaufanego dewelopera, jest możliwość, że zostało ono zhakowane. W 2020 roku doszło do głośnego przypadku firmy SolarWinds z Teksasu, której aktualizacja oprogramowania Orion została zainfekowana przez hakerów, wpływając na ponad 18 000 klientów, w tym Microsoft, Intel i około 100 innych firm, a także kilka agencji rządowych USA.
Kelsey Merrill, inżynier oprogramowania i absolwentka MIT, wraz z zespołem opracowała nowy system o nazwie Speranza, który ma na celu zapewnienie konsumentom tego typu oprogramowania, że produkt, który otrzymują, nie został naruszony i pochodzi bezpośrednio od zaufanego źródła. System Speranza opiera się na „Sigstore” – systemie wprowadzonym w zeszłym roku w celu zwiększenia bezpieczeństwa łańcucha dostaw oprogramowania, automatyzując i usprawniając proces cyfrowego podpisywania.
Speranza wykorzystuje tzw. „identity co-commitments”, gdzie tożsamość dewelopera, w postaci adresu e-mail, jest konwertowana na pseudolosową liczbę, a tożsamość pakietu oprogramowania jest powiązana z inną pseudolosową liczbą. Aby wykazać, że dany pakiet oprogramowania został stworzony lub zmodyfikowany przez uprawnionego programistę, publikowany jest dowód, który nawiązuje nierozerwalny związek między tymi dwoma liczbami.
Speranza zapewnia prywatność poprzez ukrywanie osobistych informacji, takich jak adresy e-mail programistów, jednocześnie umożliwiając użytkownikom weryfikację, że utrzymanie oprogramowania jest prowadzone przez legitymowanych deweloperów. System ten stanowi ulepszenie w zakresie użyteczności w porównaniu z długoterminowymi kluczami podpisującymi i zapewnia korzyści w udoskonalonej prywatności w porównaniu z innymi rozwiązaniami opartymi na OIDC, takimi jak Sigstore.
Mimo że Speranza stanowi znaczący krok w zapewnianiu bezpieczeństwa i autentyczności oprogramowania open source, nadal istnieją wyzwania związane z zarządzaniem kluczami kryptograficznymi i zapewnieniem ciągłej ochrony w dynamicznie zmieniającym się środowisku cyfrowym. Rozwój takich systemów jest kluczowy w kontekście rosnącej zależności od oprogramowania open source w kluczowych sektorach przemysłu.
Rozwój systemu Speranza podkreśla znaczenie innowacji w dziedzinie bezpieczeństwa oprogramowania. W dobie rosnącej popularności oprogramowania open source i ciągłych zagrożeń cybernetycznych, zapewnienie autentyczności i bezpieczeństwa oprogramowania staje się kluczowym elementem zarządzania ryzykiem w cyfrowym ekosystemie. Speranza i podobne inicjatywy otwierają nowe możliwości w budowaniu zaufania i bezpieczeństwa w świecie oprogramowania open source.
Szymon Ślubowski