ชุมชน Python กำลังอภิปรายอย่างจริงจังเกี่ยวกับการนำ PEP 740 มาใช้ ซึ่งเป็นมาตรฐานใหม่สำหรับการรับรองที่สามารถตรวจสอบได้ด้วยระบบเข้ารหัสในการกระจายแพ็กเกจ โดยมีปฏิกิริยาที่หลากหลายเกี่ยวกับความจำเป็นและประสิทธิภาพในการป้องกันการโจมตีห่วงโซ่อุปทาน
สัญญาและความเป็นจริงของการรับรองแพ็กเกจ
PEP 740 แนะนำการตรวจสอบด้วยระบบเข้ารหัสที่เชื่อมโยงแพ็กเกจที่เผยแพร่โดยตรงกับที่เก็บซอร์สโค้ด เพื่อให้มั่นใจว่าสิ่งที่นักพัฒนาอัปโหลดตรงกับสิ่งที่ผู้ใช้ดาวน์โหลด ปัจจุบันมีเพียง 6% ของแพ็กเกจที่มีการดาวน์โหลดสูงสุด 360 อันดับแรกบน PyPI ที่มีการรับรอง ในขณะที่ 77% ถูกอัปโหลดครั้งล่าสุดก่อนที่จะมีระบบรับรอง การใช้งานนี้ใช้ Sigstore และผสานรวมกับ Trusted Publishers ทำให้สะดวกเป็นพิเศษสำหรับโปรเจกต์ที่ใช้ GitHub Actions
สถานะการรับรองความถูกต้องของแพ็คเกจใน PyPI ในปัจจุบัน (360 แพ็คเกจยอดนิยม):
- สีเขียว (มีการรับรองความถูกต้อง): 6%
- ไม่มีสี (อัปโหลดก่อนมีระบบรับรอง): 77%
- สีเหลือง (ยังไม่มีการรับรอง): 17%
ความปลอดภัยห่วงโซ่อุปทาน: การป้องกันกับลำดับความสำคัญ
เกิดการถกเถียงที่สำคัญเกี่ยวกับการลงทุนในระบบรับรองเทียบกับมาตรการความปลอดภัยอื่นๆ ในขณะที่สมาชิกบางส่วนของชุมชนชี้ให้เห็นว่าการโจมตีห่วงโซ่อุปทานเกิดขึ้นน้อยเมื่อเทียบกับการขโมยข้อมูลประจำตัวและฟิชชิ่ง ผู้สนับสนุนระบบโต้แย้งว่าผลกระทบที่อาจเกิดขึ้นจากการโจมตีดังกล่าวคุ้มค่ากับการลงทุน ตัวอย่างที่โดดเด่นเช่นเหตุการณ์ SolarWinds แสดงให้เห็นว่าการบุกรุกห่วงโซ่อุปทาน แม้จะเกิดขึ้นไม่บ่อย แต่สามารถสร้างความเสียหายร้ายแรงได้
ความท้าทายและข้อกังวลในการนำไปใช้
การนำ PEP 740 มาใช้เผชิญกับอุปสรรคหลายประการ ผู้ดูแลแพ็กเกจรายเล็กอาจพบว่าการเรียนรู้ค่อนข้างยาก โดยเฉพาะหากไม่ได้ใช้ GitHub Actions สมาชิกบางคนในชุมชนแสดงความกังวลเกี่ยวกับการพึ่งพาโครงสร้างพื้นฐานของ GitHub และ Microsoft มากขึ้น โดยมองว่าโมเดล Trusted Publisher อาจรวมศูนย์การควบคุมระบบนิเวศแพ็กเกจของ Python
คุณสมบัติด้านความปลอดภัยที่สำคัญ:
- การตรวจสอบความถูกต้องของแหล่งที่มาของแพ็คเกจด้วยระบบเข้ารหัสลับ
- การผสานการทำงานร่วมกับ Sigstore
- รองรับระบบ Trusted Publisher
- ความเข้ากันได้กับ GitHub Actions workflow
ผลกระทบในอนาคต
แม้ว่า PEP 740 จะเป็นก้าวสำคัญในด้านความปลอดภัยของแพ็กเกจ แต่ชุมชนเน้นย้ำว่านี่ไม่ใช่วิธีแก้ปัญหาที่สมบูรณ์ ระบบไม่สามารถป้องกันโค้ดที่เป็นอันตรายที่ถูกคอมมิตโดยผู้ดูแลที่ถูกต้องหรือป้องกันที่เก็บซอร์สโค้ดที่ถูกบุกรุก อย่างไรก็ตาม มันเพิ่มชั้นความปลอดภัยที่สำคัญให้กับระบบ คล้ายกับที่ HTTPS กลายเป็นมาตรฐานสำหรับความปลอดภัยของเว็บ
เปรียบเสมือน HTTPS กับ HTTP สำหรับแพ็กเกจของคุณ ไม่เป็นไรถ้าคุณไม่สนใจ แต่การมีมาตรฐานความปลอดภัยที่ดีขึ้นช่วยพวกเราทุกคน และหวังว่าจะไม่สร้างความยุ่งยากมากนักให้กับผู้ให้บริการ ในขณะที่ผู้ใช้ปลายทางแทบจะไม่รู้สึกถึงการเปลี่ยนแปลง
การอภิปรายนี้ชี้ให้เห็นแนวโน้มที่กว้างขึ้นในความปลอดภัยของซอฟต์แวร์: ความจำเป็นในการสร้างสมดุลระหว่างการนำไปใช้งานจริงกับอุดมคติด้านความปลอดภัย และความท้าทายในการป้องกันภัยคุกคามที่มีผลกระทบสูงแต่เกิดขึ้นไม่บ่อย
แหล่งที่มา: Are we PEP 740 yet?