GravityKit стала первой компанией среди разработчиков коммерческих плагинов, внедрившей во всю линейку своих продуктов криптографическую подпись. Проверка пакетов во время установки добавлена почти в 30 плагинов, работающих на более чем 60 000 сайтов.
Компания анонсировала этот функционал в своем блоге, описав его как «практический шаг, гарантирующий то, что пакет, поступающий на сайт клиента, соответствует пакету, фактически выпущенному GravityKit». Система проверяет каждое обновление перед его распаковкой в WordPress и блокирует установку, если верификация не удалась.
Владимир Костин, руководитель отдела разработки GravityKit, рассказал изданию, что целенаправленная работа над дизайном и реализацией этого функционала началась в апреле. Он отметил, что идея не нова – команда уже некоторое время думала об усилении пайплайна релизов, — но ухудшение ситуации с безопасностью сдвинуло сроки.
«Инциденты, упомянутые в посте, не были непосредственным триггером, и подпись кода не устраняет все способы компрометации плагина. Мы работаем в более широком контексте безопасности: количество уязвимостей в плагинах растет, злоумышленники действуют быстрее, как только проблемы становятся публичными, и ИИ, вероятно, ускорит обнаружение и эксплуатацию уязвимостей».
Этот анонс появился вскоре после особенно сложного периода для цепочки поставок плагинов в экосистеме WordPress. За последние два месяца основатель Anchor Hosting Остин Гиндер раскрыл информацию о четырех отдельных атаках на цепочки поставок плагинов, размещенных на WordPress.org, и все они следовали одной и той же схеме: новый владелец приобретает плагин с некоторой базой установок, получает доступ к коммитам, после чего внедряет вредоносный код.
Кроме того, в отчете Patchstack о безопасности задокументировано 11 334 новых уязвимости в экосистеме за последний год – рост на 42%, — при этом злоумышленники, как правило, эксплуатируют новые обнаруженные уязвимости в течение пяти часов после раскрытия.
Механизм подписи кода GravityKit подходит компании, поскольку у нее имеется свой собственный пайплайн распространения релизов. По словам Костина, клиенты уже почти четыре года управляют лицензиями, установками и обновлениями через единый экран GravityKit в WordPress, используя фреймворк Foundation. Существующая инфраструктура позволила команде добавить верификацию к уже существующему процессу, а не создавать новую систему дистрибуции с нуля.
На вопрос о том, насколько реалистично внедрение цифровой подписи в продукты небольших компаний-разработчиков плагинов, Костин ответил, что все зависит от зрелости процесса релиза в компании. Он добавил, что в GravityKit сейчас всего три основных разработчика, и они смогли быстро продвинуться вперед, потому что вся необходимая инфраструктура уже была налажена.
«Мой совет – начать с маппинга пути релиза от начала и до конца. Сохраняйте систему как можно более компактной и простой: используйте проверенные инструменты, тщательно защищайте приватный ключ, любые сбои делайте видимыми и отслеживаемыми, заранее планируйте ротацию и отзыв ключей».
«Важно не выпускать продукт, который работает только в счастливом пути (happy path). Если верификация незаметно оканчивается неудачей или служба поддержки не может понять, почему обновление было заблокировано, система не будет устойчива в продакшне».
На вопрос о том, считает ли он цифровую подпись конкурентным преимуществом, Костин сказал: «Клиенты выбирают софт в первую очередь потому, что он решает их бизнес-задачи. Обеспечение безопасности лишь подкрепляет это решение, но не заменяет собой основные причины». Он добавил, что для корпоративных и государственных организаций, а также для требовательных к безопасности клиентов важным фактором при оценке является не только список функций, но и то, как разрабатывается и поставляется софт.
Анонс GravityKit также совпал с появлением других инфраструктурных проектов, ориентированных на безопасность, в пространстве WordPress. FAIR, инициатива, поддерживаемая Linux Foundation и продвигающая федеративное распространение плагинов, включила в свой протокол криптографическую подпись и децентрализованные идентификаторы. Костин сказал, что GravityKit следит за FAIR, но не связывалась с ними, отметив, что этот проект пока не является готовым решением для коммерческих потоков дистрибуции, включающих лицензирование, приватные загрузки и множественные каналы выпуска.
«Если ядро WordPress, FAIR, EDD, Freemius или другой общий подход обеспечивал бы все это, мы предпочли бы развивать его, нежели вечно поддерживать специфический для GravityKit верификатор. Мы создали свой собственный, потому что существующих компонентов WordPress было недостаточно для обеспечения коммерческих потоков дистрибуции – особенно для плагинов, распространяемых через отдельный канал обновлений».
В ядре WordPress уже есть код верификации подписи, но, как отметил Костин, он не работает для апдейтов плагинов и был построен на базе собственной системы обновлений WordPress.org.
Многие коммерческие компании, разрабатывающие плагины, полагаются на такие платформы, как Easy Digital Downloads и Freemius, которые хорошо справляются с лицензированием и доставкой, но проверка пакетов во время установки сегодня не является частью их стандартных предложений. Останется ли GravityKit единственной компанией с криптографической подписью кода для своих продуктов, покажет время.
Источник: https://www.therepository.email
