Minacce alla supply chain del software open source (OSS) e prospettive per il 2025
L’OSS come vettore di attacco
Il software open source (OSS) è diventato un vettore di minaccia significativo negli ultimi dieci anni, a causa della sua ampia diffusione e dell’assenza di un modello di responsabilità condiviso. Con oltre 5 milioni di pacchetti OSS disponibili, circa il 90% dei codici moderni li utilizza, rappresentando fino all’80% della base di codice di molte aziende. Tuttavia, la mancanza di governance e trasparenza lo rende un obiettivo ideale per gli attacchi alla supply chain.
Gli attacchi alla supply chain sono aumentati del 431% dal 2021 e continueranno a rappresentare un rischio elevato nel 2025. Poiché il cybercrime è un business basato sul ritorno dello sforzo, compromettere un singolo pacchetto OSS può portare a violazioni multiple, colpendo molte aziende contemporaneamente.
Minacce specifiche per la supply chain OSS
- Mancanza di SBOM (Software Bill of Materials): gli sviluppatori OSS non sono obbligati a fornire un SBOM, il che riduce la visibilità sulle dipendenze del software e aumenta il rischio di vulnerabilità.
- Gestione non uniforme degli aggiornamenti: molte librerie OSS sono mantenute con risorse limitate, rendendo irregolari gli aggiornamenti di sicurezza.
- Attacchi sociali e tecnici: casi come XZ Utils dimostrano come gli attori malevoli possano infiltrarsi nei progetti OSS attraverso tecniche di social engineering.
- Interferenze di entità straniere: organizzazioni e stati ostili sfruttano l’ecosistema OSS per introdurre codice dannoso (es. incidente Polyfill).
- Rischio di vulnerabilità critiche: eventi come Log4j, Heartbleed e Shellshock evidenziano l’imprevedibilità e il potenziale impatto di vulnerabilità su larga scala.
AI e OSS: nuove sfide di sicurezza
L’intelligenza artificiale (AI) è destinata a essere il grande fattore di disturbo nella cybersecurity del 2025. L’uso crescente di strumenti di generazione di codice basati su AI, come ChatGPT, espone le aziende a nuovi rischi:
- “AI Package Hallucination”: gli attori malevoli possono indurre i modelli AI a suggerire pacchetti inesistenti e poi pubblicare versioni compromesse su registri OSS come npm o PyPI.
- Vulnerabilità introdotte da AI: la sintesi di codice basata su AI può involontariamente generare falle di sicurezza.
- OSS AI models: i modelli AI open source scaricabili da piattaforme come Hugging Face presentano rischi simili alle librerie OSS tradizionali.
Tentativi di difesa della supply chain OSS
- SBOMs: Sebbene promossi dal governo USA con l’ordine esecutivo EO14028, la loro adozione è ancora limitata. Strumenti come npm sbom . (comando che genera un Software Bill of Materials, SBOM) semplificano la gestione delle dipendenze, ma resta da vedere se le aziende li utilizzeranno su larga scala.
- AI BOMs: il settore sta lavorando per sviluppare SBOM specifici per modelli AI, come gli ML-BOMs, per monitorare dataset, algoritmi e dipendenze.
- Tea Protocol: un nuovo framework basato su blockchain mira a migliorare la sostenibilità e la sicurezza dell’OSS, premiando gli sviluppatori e incentivando la segnalazione di vulnerabilità. Tuttavia, esistono preoccupazioni riguardo ad abusi e attacchi DoS nei registri OSS.
Regolamentazioni e futuro della sicurezza OSS
Il 2025 vedrà un aumento della regolamentazione sulla sicurezza della supply chain software, con normative come NIS2, DORA ed ECRA in Europa e iniziative statunitensi come CISA Secure by Design. Tuttavia, regolamentazioni reattive potrebbero aumentare i costi e spingere le aziende a ridurre il supporto per l’OSS puro, favorendo alternative a codice chiuso o con licenze ibride.
Conclusione
L’OSS continuerà a rappresentare un rischio per la supply chain software nel 2025. Mentre SBOMs, regolamenti e nuove tecnologie forniscono strumenti di difesa, nessuna soluzione garantisce sicurezza totale. Le aziende devono prepararsi a un panorama di minacce in evoluzione, rafforzando la governance dell’OSS e adottando strategie di mitigazione proattive.
Fonte: SecurityWeek.com
