La Agencia de Seguridad Cibernética e Infraestructura de EE. UU. (CISA) se ha asociado con el Open Source Security Foundation (OpenSSF) Securing Software Repositories Working Group para lanzar los Principios de Seguridad para Repositorios de Paquetes. Este marco tiene como objetivo establecer un conjunto de reglas fundamentales para los gestores de paquetes y fortalecer aún más los ecosistemas de software de código abierto.
Los repositorios de paquetes son un punto crítico en el ecosistema de código abierto para prevenir o mitigar ataques. El marco establece cuatro niveles de madurez de seguridad para los repositorios de paquetes: Nivel 0: muy poca madurez de seguridad; Nivel 1: madurez básica de seguridad; Nivel 2: seguridad moderada; y Nivel 3: seguridad avanzada. Todos los ecosistemas de gestión de paquetes deberían trabajar hacia al menos el Nivel 1. El objetivo final del marco es permitir que los repositorios de paquetes evalúen su madurez de seguridad y formulen un plan para reforzar sus medidas de seguridad.
El Centro de Coordinación de Ciberseguridad del Sector de Salud del Departamento de Salud y Servicios Humanos de EE. UU. también ha advertido sobre los riesgos de seguridad relacionados con el uso de software de código abierto para mantener registros de pacientes y otros fines. Aunque el software de código abierto es fundamental para el desarrollo moderno de software, también puede ser el eslabón más débil en la cadena de suministro de software, según un informe de amenazas publicado en diciembre de 2023.
Vía The Hacker News