Chainguard, поставщик безопасной платформы для разработки и развертывания программного обеспечения, объявил библиотеки Chainguard для Python, новое предложение, предназначенное для устранения рисков цепочки поставок в разработке Python.
По мере роста Python в ИИ и машинном обучении (ML) растет, так и угрозы безопасности. Недавние атаки вредоносных программ на такие пакеты, как Ultralytics и Pytorch Torchtriton, обнаружили уязвимости в традиционных источниках, таких как PYPI. Библиотеки Chainguard для Python решают эту проблему, надежно восстанавливая зависимости от источника, гарантируя, что каждый пакет остается свободным от скрытых угроз, сообщила компания.
В мире, где программное обеспечение с открытым исходным кодом поддерживает почти все, от корпоративных приложений до передовых моделей искусственного интеллекта, уязвимости безопасности в цепочке поставок программного обеспечения представляют собой растущую угрозу.
Новый продукт компании Kirkland, компании Washington Company, направлена на то, чтобы предоставить безопасную альтернативу общественным репозиториям пакетов Python, таким как PYPI, которые стали целью все более сложных атак цепочки поставок.
Проблема безопасности Python
Python стал основой современных приложений AI и ML, и более половины разработчиков мира полагаются на язык в соответствии с недавней статистикой. Тем не менее, эта популярность сделала Python Packages привлекательной целью для вредоносных актеров.
Недавние громкие атаки на популярные пакеты Python продемонстрировали серьезные риски, с которыми сталкиваются организации, когда потребляют библиотеки из общественных репозиториев, которые проводят минимальное проверку безопасности.
«Это все равно, что забрать фондовой диск с боковой стороны улицы и подключить его к своему производственному серверу»,-заявила Ким Левандовски, соучредитель и директор по продукту Ким Левандовски в Chainguard. «Когда разработчик PIP устанавливает библиотеку, они вытаскивают ее из PYPI, не имея возможности отследить эту библиотеку до его фактического происхождения или исходного кода».
Более того, Левандовски уточнил ландшафт безопасности: «Мы все пришли из Google, крупной организации. Мы основали компанию и только начали отслаживать этот лук с открытым исходным кодом в целом, и это было страшно. Это похоже на дикий, дикий запад».
Пролить свет на «Темную материю»
Помимо проблем проверки и происхождения, Chainguard определил еще один критический разрыв в безопасности, уникальный для библиотек Python. Компания обнаружила, что разработчики Python часто связывают нативные библиотеки систем (например, SSL) непосредственно в свои пакеты вместо того, чтобы полагаться на основную операционную систему.
Эти компоненты в комплекте создают то, что Chainguard называет «темной материей»: скрытые зависимости, которые обычно пропускают сканеры безопасности, потенциально укрывая уязвимости, которые остаются незамеченными.
«Разработчики проводят много времени, пытаясь связать все, что им нужно для их применения», — отметил Левандовски. «Что на самом деле делает то, что мы называем« темной материей », где сканеры даже не поднимают эти файлы».
Безопасная альтернатива
Библиотеки Chainguard для Python помогают решить эти проблемы, надежно построив около 10 000 самых популярных библиотек Python и все их зависимости полностью из исходного кода. Компания использует закаленную систему сборки, которая соответствует стандартам безопасности SLSA уровня 2, обеспечивая полную видимость в каждом компоненте, который входит в каждый артефакт Python.
«Мы хотим быть таким безопасным источником», — сказал Левандовски. «Если у вас есть еще один вариант, это похоже на чистую питьевую воду по сравнению с грязной водой. У вас есть возможность получить чистую версию, что, как вы знаете пришел из. «
По ее словам, в отличие от многих решений для безопасности, которые заставляют команды разработчиков изменить свои рабочие процессы, Chainguard разработала свой продукт для интеграции с существующими менеджерами по артефактам. Этот подход позволяет командам безопасности внедрять более сильные элементы управления, не нарушая производительность разработчиков — разработчики просто указывают на другой реестр для доступа к более безопасным версиям тех же библиотек, которые они уже используют.
«Ничто не должно действительно существенно измениться в своей повседневной работе»,-отметил Левандовски. «У них просто лучший, более безопасный источник для файлов, которые они притягивают, чтобы создать свои приложения».
Другим заметным преимуществом является совместимость. В то время как Chainguard известен своим минимальным дистрибуцией Wolfi Linux, библиотеки Python будут работать в других операционных системах, таких как Ubuntu, что делает их доступными для более широкого диапазона пользователей, сказала она.
Опираясь на импульс
Этот релиз следует за недавним запуском Chainguard аналогичного продукта для Java -зависимостей. Вместе эти предложения продвигают миссию компании стать «безопасным источником для открытого исходного кода» во всем программном стеке.
«Мы перешли от одного продукта, от изображений контейнеров до трех предложений продукта», — объяснил Левандовски. «И снова проходя через движения, раннего доступа, продвигаясь, выбирая эти вещи на рынок с гораздо большей командой по продажам и маркетингу, чем мы начали — это была действительно забавная часть путешествия».
В своем заявлении Джо Кристиан, старший инженерный менеджер по обеспечению безопасности приложений в PayLocity, сказал: «Chainguard уже помогает нам уменьшить нашу поверхность атаки, придавая наши команды уверенность в том, что они отправляют. Мы видим обещание в библиотеках Chainguard для Python, чтобы разработчики могли надежно строить из самой первой строки кода».
По словам Carsten Skov, старшего инженера DevOps в компании, Man Energy Solutions, в которой уже используются контейнеры Chainguard, также с нетерпением ждет дополнительного уровня безопасности.
«Они взволнованы потенциалом библиотек Chainguard для Python для дальнейшего укрепления нашей цепочки поставок программного обеспечения путем смягчения рисков, связанных с незавершенными зависимостями и вредоносными программами в экосистеме Python», — сказал он в своем заявлении.
Что дальше?
Библиотеки Chainguard для Python изначально будут доступны в раннем доступе, начиная с 14 мая. Компания указала, что спрос клиентов уже управляет их дорожной картой для аналогичных предложений для других языков в будущем.
«Когда мы объявили о Java, мы начали разговаривать с некоторыми из наших нынешних клиентов, и, конечно, мы получили несколько входящих лидеров», — делится Левандовски. «У нас есть растущий счет списков, таких как« Ожидание на Python, ожидая Python », поэтому в очереди у нас определенно есть несколько человек, которые ждали этого объявления».
Заглядывая в будущее, Chainguard уже выставляет запросы на дополнительные экосистемы. «Мы много слышим NPM, много рубины, а затем много ржаветь», — сказал Левандовски. «Мы надеемся, что сможем начать добиваться хорошего прогресса, особенно на стороне NPM. Python и Java — это дикий, дикий запад, а NPM — это… [even wilder].
Для организаций, развивающихся с Python, особенно тех, кто работает над чувствительными к безопасности приложений, новое предложение дает возможность значительно снизить риск без нарушения рабочих процессов разработчика-по существу, обеспечивая «чистую питьевую воду» вместо потенциально загрязненных ресурсов.
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Дэррил К. Тафт охватывает DevOps, инструменты разработки программного обеспечения и проблемы, связанные с разработчиком из своего офиса в районе Балтимора. Он имеет более чем 25 -летний опыт работы в бизнесе и всегда ищет следующий совок. Он работал … читайте больше от Дэррила К. Тафта
