Como suministro de software Los ataques en cadena se han convertido en una amenaza cotidiana, donde los malos actores envenenan un paso en el proceso de desarrollo o distribución, la industria tecnológica ha recibido una llamada de atención sobre la necesidad de proteger cada eslabón de la cadena. Pero en realidad implementar mejoras es un desafío, particularmente para el ecosistema de desarrollo de nube de código abierto en expansión. Ahora, la firma de seguridad Chainguard dice que tiene una solución más segura para un componente ubicuo pero pasado por alto durante mucho tiempo.
Los «registros de contenedores» son una especie de tienda de aplicaciones o cámara de compensación donde los desarrolladores cargan «imágenes» de contenedores en la nube, cada uno de los cuales contiene un programa de software diferente. Los servicios en la nube que usa todos los días navegan constante y silenciosamente por los registros de contenedores para acceder a las aplicaciones, pero estos registros a menudo están mal protegidos con solo una contraseña que se puede perder, robar o adivinar. Esto a menudo significa que las personas que no deberían tener acceso a una imagen de contenedor determinada pueden descargarla o, lo que es peor, pueden cargar en el registro imágenes que podrían ser maliciosas. El nuevo registro de imágenes de contenedores de Chainguard tiene como objetivo tapar este agujero esotérico pero generalizado.
“Casi todas las cosas malas posibles han sucedido con los registros de contenedores que pueda imaginar”, dice Dan Lorenc, director ejecutivo de Chainguard e investigador de seguridad de la cadena de suministro de software desde hace mucho tiempo. “Personas que pierden contraseñas, personas que introducen malware a propósito, personas que se olvidan de actualizar cosas. La industria simplemente ha estado usando esto durante mucho tiempo: todos se estaban divirtiendo, enviando el código y nadie estaba pensando en las consecuencias a largo plazo”.
Los investigadores de Chainguard dicen que durante mucho tiempo han considerado desarrollar un registro diseñado con más cuidado, particularmente uno que elimine las contraseñas y, en su lugar, utilice un enfoque de inicio de sesión único para controlar el acceso al registro. De esa manera, se puede diseñar un registro para que sea tan accesible o tan bloqueado como sea necesario, y solo las personas que hayan iniciado sesión en otras cuentas, como servicios de identidad corporativa o cuentas de Google, y que luego estén específicamente autorizadas, podrán interactuar con el registro.
“Los registros de contenedores han sido un eslabón débil”, dice Jason Hall, ingeniero de software de Chainguard. “Son bastante aburridos, bastante estándar. Este es software que se basa en software para entregar software. Necesitamos hacerlo mejor y deshacernos de las contraseñas para hablar con el registro y poder ingresar al registro”.
Sin embargo, la gran limitación para implementar un sistema como este ha sido el costo. La ejecución de un registro de contenedores suele ser muy costosa debido a las «tarifas de salida». En otras palabras, los proveedores de la nube no cobran a los clientes empresariales por cargar datos en la nube, pero sí les cobran cada vez que alguien descarga los datos. Entonces, si los registros de contenedores son como una tienda de aplicaciones donde todos vienen a descargar imágenes de contenedores, las tarifas de salida pueden aumentar mucho muy rápido. Este trabajo desincentivó la revisión de la seguridad de los registros de contenedores porque nadie quería asumir el costo asociado con ofrecer una alternativa más segura.
El gran avance para Chainguard se produjo cuando la empresa de infraestructura de Internet Cloudflare anunció la disponibilidad general de su servicio R2 Storage en septiembre. El objetivo del producto es ofrecer tarifas de salida reducidas a los clientes de Cloudflare e incluso ninguna tarifa por los datos que se descargan con poca frecuencia. Una vez que R2 surgió como una opción, los investigadores de Chainguard tenían todo lo que necesitaban para avanzar con un registro más seguro.