Kann die Bytecode Alliance die Lieferkette mit WebAssembly sichern?

Cyber Security News

Der Mozilla-Vorsitzende Mitchell Baker spricht am Massachusetts Institute of Technology am 16. Mai 2018 in Cambridge, Massachusetts. Mozilla gehört zu den Unternehmen, die an der Spitze der Bemühungen stehen, WebAssembly und das WebAssembly System Interface (WASI) als neue Standards zu fördern, die einige der inhärenten Schwächen in der Art und Weise beheben können, wie Software entwickelt wird. (Foto von Paul Marotta/Getty Images für MIT Solve)

Die Bytecode Alliance gab am Mittwoch bekannt, dass sie eine Non-Profit-Organisation gegründet hat, die sich auf die Förderung von WebAssembly (WASM) und dem WebAssembly System Interface (WASI) als aufkommende Standards konzentriert, die einige der inhärenten Schwächen in der Art und Weise, wie Software entwickelt wird, beheben können.

Angeführt wird die Initiative von bekannten Namen wie Intel, Mozilla, Microsoft und Fastly, die gleichgesinnte Unternehmen ermutigen, der Allianz beizutreten.

Die 2019 gegründete Allianz hat die Aufmerksamkeit auf die inhärenten Schwächen der vorherrschenden Modelle zur Erstellung von Software gelenkt, die sich stark auf die Zusammenstellung von bis zu Tausenden von Modulen von Drittanbietern (viele davon Open Source) ohne Sicherheitsgrenzen zwischen ihnen verlassen.

Mitglieder der Bytecode Alliance sagen, dass diese Schwächen in der Software-Lieferkette zu Verletzungen in Regierungssystemen, kritischen Infrastrukturdiensten und einer großen Anzahl von Unternehmen sowie zum Diebstahl persönlicher Daten von Hunderten von Millionen, vielleicht sogar Milliarden von Menschen geführt haben.

“Microsoft freut sich, der Bytecode Alliance als integrierendes Mitglied beizutreten, um die Bemühungen um ein offeneres, skalierbares und sicheres Web zu unterstützen”, sagte Ralph Squillace, Principal Program Manager, Azure Core Upstream bei Microsoft. “WebAssembly und die entstehende WASI-Spezifikation ermöglichen es Cloud-nativen Lösungen, standardmäßig sicherer zu werden.”

WebAssembly hat an Popularität gewonnen, da es darauf abzielt, einige der seit langem bekannten Nachteile und Einschränkungen der Nutzung von JavaScript in Webanwendungen zu beseitigen, sagte Kevin Dunne, Präsident von Pathlock. Dunne sagte, während WebAssembly viele der Schlupflöcher und Schwachstellen schließt, die wir kennengelernt haben, öffnet es mehrere andere, von denen wir gerade erst herausfinden.

“Es sind mehrere Exploits aufgetaucht, die WebAssembly nutzen, um gefälschte Formulare zum Sammeln von Informationen auf ansonsten normal aussehenden Websites zu präsentieren, um persönliche Daten und Anmeldeinformationen für den Missbrauch zu sammeln”, sagte Dunne. “Während WebAssembly einige Probleme löst, die JavaScript inhärent sind, ist es noch zu früh, um zu sagen, ob es funktioniert, um das Gesamtrisiko für Entwickler und Benutzer von Webanwendungen zu reduzieren.”

Sounil Yu, Chief Information Security Officer bei JupiterOne, sagte, dass WASM und WASI eine großartige Grundlage bieten, um die nächste Generation von sicheren Webanwendungen zu entwickeln.

“Wir sehen sogar interessante Sicherheitsanwendungsfälle für die Browser-Isolierung mit WASM, wie z. B. das Zero Trust Browsing von Cloudflare, um die Benutzererfahrung einer virtualisierten, sicheren Browser-Umgebung zu verbessern”, sagte Yu. “Allerdings bietet WASM Angreifern die Möglichkeit, Malware (wie Kryptominer) zu verstecken, die innerhalb des Browsers läuft. Den Sicherheitsteams fehlen die forensischen Tools, um Beweise für die Ausführung von WASM-Binärdateien innerhalb des Browsers zu finden und zu sammeln. Dies ist ein Bereich, der weitere Investitionen und Aufmerksamkeit erfordert, da WASM bei Entwicklern und Angreifern immer beliebter wird.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com