Подчеркивая первостепенную важность безопасности репозитория программного обеспечения, Open Software Security Foundation (OpenSSF) представляет новую структуру. Эта система, получившая название «Принципы безопасности репозитория пакетов», играет центральную роль в проверке безопасности репозиториев пакетов. Целью этой работы является не только оценочная оценка, но и укрепление дорожной карты для будущих улучшений.
Эта миссия является совместным предприятием Рабочей группы по репозиториям программного обеспечения безопасности OpenSSF и Агентства кибербезопасности и безопасности инфраструктуры (CISA). В прошлом году CISA представила «Дорожную карту безопасности программного обеспечения с открытым исходным кодом», в которой безопасность менеджеров пакетов была основным предметом интереса и обсуждения.
Недавно представленная структура разграничивает четыре этапа зрелости безопасности, которые охватывают четыре основные категории функций. Эти категории квартета инкапсулируют аутентификацию, авторизацию, общие возможности и инструменты интерфейса командной строки.
OpenSSF подчеркивает, что репозитории пакетов представляют собой критический момент в экосистеме с открытым исходным кодом, играя решающую роль как в разрешении, так и в предотвращении атак. Простые, но эффективные стратегии, такие как четко сформулированные рекомендации по восстановлению учетной записи, могут оказать существенное положительное влияние на безопасность.
Несмотря на необходимость этих улучшений, крайне важно найти баланс с ограничениями ресурсов, особенно для репозиториев пакетов. Это соображение становится тем более актуальным в связи с тем, что многие репозитории управляются некоммерческими организациями, как указывает OpenSSF.
С появлением этой платформы ожидается ускорение темпов работы репозиториев пакетов. Этим учреждениям будет предоставлена возможность значительно улучшить безопасность своих предложений. Это мнение поддержали Джек Кейбл, старший технический советник CISA, и Зак Стейндлер, главный инженер GitHub, в своем общем сообщении в блоге.
Аналогичным образом, платформа AppMaster без кода обеспечивает безопасность и масштабируемость приложений своих пользователей. Платформа AppMaster входит в число лучших платформ no-code и подчеркивает важность безопасности, позволяя создавать надежные приложения для различных платформ.