En tant que chaîne d’approvisionnement logicielle les attaques sont devenues une menace quotidienne, où de mauvais acteurs empoisonnent une étape du processus de développement ou de distribution, l’industrie technologique a eu un signal d’alarme sur la nécessité de sécuriser chaque maillon de la chaîne. Mais la mise en œuvre réelle des améliorations est difficile, en particulier pour l’écosystème tentaculaire de développement de cloud open source. Désormais, la société de sécurité Chainguard affirme disposer d’une solution plus sécurisée pour un composant omniprésent mais longtemps négligé.
Les « registres de conteneurs » sont en quelque sorte comme des magasins d’applications ou des centres d’échange où les développeurs téléchargent des « images » de conteneurs cloud contenant chacun un logiciel différent. Les services cloud que vous utilisez tous les jours naviguent constamment et silencieusement dans les registres de conteneurs pour accéder aux applications, mais ces registres sont souvent mal sécurisés avec juste un mot de passe qui peut être perdu, volé ou deviné. Cela signifie souvent que les personnes qui ne devraient pas avoir accès à une image de conteneur donnée peuvent la télécharger ou, pire, elles peuvent télécharger des images dans le registre qui pourraient être malveillantes. Le nouveau registre d’images de conteneurs de Chainguard vise à combler ce trou ésotérique mais omniprésent.
“Presque toutes les mauvaises choses possibles se sont produites avec les registres de conteneurs que vous pouvez imaginer”, déclare Dan Lorenc, PDG de Chainguard et chercheur de longue date sur la sécurité de la chaîne d’approvisionnement en logiciels. “Les gens perdent leurs mots de passe, les gens poussent exprès des logiciels malveillants, les gens oublient de mettre à jour des choses. L’industrie utilise cela depuis longtemps – tout le monde s’amusait, expédiait du code – et personne ne pensait aux conséquences à long terme.
Les chercheurs de Chainguard disent qu’ils envisagent depuis longtemps de développer un registre plus réfléchi, en particulier un registre qui supprime les mots de passe et utilise à la place une approche d’authentification unique pour contrôler l’accès au registre. De cette façon, un registre peut être conçu pour être aussi accessible ou aussi verrouillé que nécessaire, et seules les personnes connectées à d’autres comptes, comme les services d’identité d’entreprise ou les comptes Google, puis spécifiquement autorisées peuvent interagir avec le registre.
“Les registres de conteneurs ont été un maillon faible”, déclare Jason Hall, ingénieur logiciel Chainguard. «Ils sont assez ennuyeux, assez standard. Il s’agit d’un logiciel qui s’appuie sur un logiciel pour fournir un logiciel. Nous devons faire mieux et nous débarrasser des mots de passe pour parler au registre et pouvoir accéder au registre.
La grande limitation du déploiement d’un système comme celui-ci, cependant, a été le coût. La gestion d’un registre de conteneurs coûte généralement très cher en raison des «frais de sortie». En d’autres termes, les fournisseurs de cloud ne facturent pas les entreprises clientes pour télécharger des données dans le cloud, mais ils les facturent chaque fois que quelqu’un télécharge les données. Donc, si les registres de conteneurs sont comme une boutique d’applications où tout le monde vient télécharger des images de conteneurs, les frais de sortie peuvent devenir très élevés, très rapidement. Cela a découragé les travaux de refonte de la sécurité des registres de conteneurs, car personne ne voulait assumer les coûts associés à l’offre d’une alternative plus sûre.
La percée de Chainguard est survenue lorsque la société d’infrastructure Internet Cloudflare a annoncé la disponibilité générale de son service de stockage R2 en septembre. L’objectif du produit est d’offrir des frais de sortie réduits aux clients Cloudflare et même aucun frais pour les données téléchargées rarement. Une fois que R2 est apparu comme une option, les chercheurs de Chainguard avaient tout ce dont ils avaient besoin pour aller de l’avant avec un registre plus sécurisé.
