Un nouvel outil Linux vise à se prémunir contre les attaques de la chaîne d’approvisionnement

Dans le sillage d’incidents alarmants comme l’attaque massive de logiciels malveillants NotPetya en Russie en 2017 et la campagne de cyberespionnage SolarWinds du Kremlin en 2020, toutes deux déclenchées par des puits empoisonnés pour la distribution de logiciels, les organisations du monde entier se sont efforcées de maîtriser la sécurité de la chaîne d’approvisionnement des logiciels. En général, et pour les logiciels open source en particulier, une défense plus solide consiste à savoir quel logiciel vous utilisez réellement avec un accent crucial sur l’énumération de tous les petits morceaux qui composent l’ensemble et la validation qu’ils sont ce qu’ils devraient être. De cette façon, lorsque vous emballez une boîte d’héritages logiciels et que vous la stockez sur une étagère, vous savez qu’il n’y a pas un microphone en direct ou un Tupperware plein d’œufs diaboliques assis dans la boîte pendant des années.

Créer un système pour générer un manifeste de ce qui se trouve à l’intérieur de chaque boîte dans chaque sous-sol et garage est un effort considérable, mais un nouvel outil de la société de sécurité Chainguard vise à faire exactement cela pour les « conteneurs » logiciels qui sous-tendent presque tous les services numériques aujourd’hui.

Jeudi, Chainguard a lancé une distribution Linux appelée Wolfi qui est conçue spécifiquement pour la façon dont les systèmes numériques sont réellement construits aujourd’hui dans le cloud. La plupart des consommateurs n’utilisent pas Linux, le célèbre système d’exploitation open source, sur leurs ordinateurs personnels. (S’ils le font, ils ne le savent pas nécessairement, comme c’est le cas avec Android, qui est construit sur une version modifiée de Linux.) Mais le système d’exploitation open source est largement utilisé dans les serveurs et les infrastructures cloud du monde entier, en partie parce qu’il peut être déployé de manière si flexible. Contrairement aux systèmes d’exploitation de Microsoft et d’Apple, où votre seul choix est la saveur de crème glacée qu’ils libèrent, la nature ouverte de Linux permet aux développeurs de créer toutes sortes de saveurs, appelées « distributions », pour répondre à différentes envies et besoins spécifiques. Mais les développeurs de Chainguard, qui travaillent tous sur des logiciels open source depuis des années, y compris sur d’autres distributions Linux, ont estimé qu’il manquait une saveur clé.

« Ce que nous avons fait, c’est construire une distribution qui, à notre avis, fonctionnera bien pour les entreprises qui cherchent à résoudre sérieusement la sécurité de la chaîne d’approvisionnement », déclare Ariadne Conill, ingénieure principale de Chainguard. « Différentes distributions incluent différents logiciels qu’elles incluent – ​​ce sont des collections de logiciels organisées. En commençant par une distribution Linux qui obtient tout dès le début, c’est un énorme avantage pour les développeurs de logiciels de bien faire leur propre travail.

Considérez les conteneurs de logiciels comme une maison construite à partir d’un conteneur d’expédition. Tout ce dont vous avez besoin pour vivre s’y trouve, mais vous pouvez ramasser la maison-conteneur et la déplacer là où elle doit aller. Si un système d’exploitation est comme les appareils, le câblage électrique, la plomberie et d’autres infrastructures dans la maison conteneur, c’est ce que Wolfi pré-vérifie et pré-détails pour assurer la sécurité de tout dans votre maison conteneur. Wolfi est conçu pour fonctionner sans problème avec d’autres outils de Chainguard qui aident les développeurs à créer et à ajouter des logiciels dans leur conteneur de manière sécurisée. En d’autres termes, il est simple de valider les meubles et les effets personnels et de les ajouter à votre index de conteneurs. De cette façon, si votre maison est cambriolée, il est plus facile de déterminer ce qui s’est passé et comment. Et si jamais vous souhaitez expédier votre maison à l’étranger, vous avez un manifeste détaillé à montrer aux douanes.

« C’est exactement la même chose avec les logiciels qu’avec les biens physiques – il peut y avoir de la contrebande ou des biens contrefaits que les gens essaient de cacher et de se faufiler », explique Adolfo Garcia, ingénieur logiciel chez Chainguard. « Pour les logiciels, si vous n’avez pas la capacité de collecter les informations au moment de la construction, vous allez manquer beaucoup de ce qu’il y a dedans. »