L’ENISA (Agenzia dell’Unione europea per la sicurezza informatica) ha di recente pubblicato un documento in merito alla sicurezza della gestione dei pacchetti (package management), parte del ciclo di vita dello sviluppo software.
Il documento delinea i rischi esistenti nella gestione da parte di terzi dei pacchetti, delinea procedure sicure per la selezione, l’integrazione e il monitoraggio degli stessi e descrive approcci per affrontare i rischi.
Lo sviluppo di software si basa su pacchetti, librerie e strumenti esterni ottenuti tramite gestori i quali supportano lo sviluppo di software fornendo un accesso rapido e semplice a differenti repository di codice di terze parti, spesso open source. Tuttavia questi comportano anche rischi per la catena di approvvigionamento.
Il presente documento si concentra su come gli sviluppatori possono utilizzare in modo sicuro i gestori di pacchetti (package managers) nell’ambito del loro ciclo di vita di sviluppo del software.
In particolare, il documento:
- delinea i rischi connessi all’uso di pacchetti da terze parti
- fornisce pratiche sicure per la selezione, l’integrazione e il monitoraggio dei pacchetti
- specifica approcci per affrontare i rischi riscontrati
Il documento si limita all’analisi della sicurezza in relazione all’utilizzo dei packages e alla gestione delle dipendenze all’interno dei progetti software, principalmente dal punto di vista delle applicazioni.
Rimangono, quindi, esclusi i temi in relazione ai gestori di pacchetti del sistema operativo, la pubblicazione sicura dei pacchetti, la sicurezza del canale di distribuzione dei gestori di pacchetti e le pratiche di codifica sicura.
