Daniel Stenberg har analyserat sitt eget kodprojekt Curl och dess sårbarhet mot den typ av supply chain-attack som drabbade XZ Utils i förra veckan. Han publicerar sin metod för att hjälpa andra.
När Daniel Stenberg fick höra talas om attacken på komprimeringsbibliteket XZ Utils och den tålmodiga infiltration som användes, tänkte han genast på sitt eget projekt Curl (cURL).
Det används för datatransport och är ett av världens riktigt stora kodprojekt, förmodligen ännu mer spritt än XZ Utils. En framgångsrik attack på Curl skulle göra många system sårbara.
Daniel Stenberg gick omedelbart till verket och analyserade Libcurls sårbarhet. Vi mejlade honom.
Ditt eget förfarande, din egen analys av Curl, går den att generalisera till en checklist eller praxis för andra kodprojekt?
Daniel Stenberg |
– Ja, det gör det. Inget av det jag gör är revolutionerande eller magiskt på något sätt. Jag försöker bara verkligen göra det som går för att minska risker, öka transparens och förenkla för andra att kunna verifiera det vi skeppar.
– Det är ju skillnad på att veta vad som är rätt och att verkligen GÖRA det. Det krävs vilja och energi.
Pågår det kanske en generell diskussionen redan om detta – att ta fram en praxis kring hur man gör sitt bästa för att lägga hinder i vägen för supply chain attacks?
– Ja. Det är en diskussion som faktiskt pågått under en rätt lång tid men som aktualiserats ordentligt i och med xz-attacken.
– En bidragande orsak till att jag skrev den här bloggposten är att det efter xz skrivits, och tyckts en massa, vill jag hjälpa till att berätta hur det kan gå till och hur man kan göra sitt bästa för att "skruva åt alla skruvarna lite till" för att försvåra attacker. Inga silverkulor, bara ingenjörsskap och att göra det vi vet man borde göra.
Det kanske hör hemma i den här best practises som öppenkodssamfundet jobbar med nu, som svar på EU:s kommande lagkrav CRA (Cyber Resilinece Act)?
– Jag tror nog det. Jag gick med i mailinglistan för det projektet på direkten eftersom jag blev nyfiken, men det har inte kommit ett enda mail där än ...
– OpenSSF har ju sedan tidigare skapat bestpractices.dev där projekt kan “självdeklarera” att de uppfyller en rätt stor mängd olika best practices för open source. Curl är topp-noterad där som ett av de fåtal projekt som klassar sig som "Gold".