Po skandalach związanych z bezpieczeństwem, takich jak SolarWinds i Colonial Pipeline, Biały Dom postanowił uczynić bezpieczeństwo oprogramowania priorytetem za pomocą zarządzenia wykonawczego z maja 2021 roku . Niedawno instytucja zdecydowała się połączyć siły z Open Source Security Foundation (OpenSSF) i The Linux Foundation, aby zażądać 150 milionów dolarów funduszy na sprostanie największym wyzwaniom związanym z bezpieczeństwem open source w ciągu najbliższych dwóch lat.
Wygląda na to, że rząd USA nie zapewni pieniędzy na finansowanie programu, dlatego firmy takie jak Amazon, Ericsson, Google, Intel, Microsoft i VMware zobowiązały się łącznie do około 30 milionów dolarów, podczas gdy Amazon Web Services (AWS) obiecał dodatkowe 10 milionów z jego strony. Brian Behlendorf, dyrektor generalny OpenSSF, powiedział na konferencji prasowej w Białym Domu, że intencją nie jest pozyskiwanie funduszy publicznych i że nie uważają tego za konieczne dla powodzenia programu.
Program promowany przez OpenSSF i The Linux Foundation ma na celu osiągnięcie następujących 10 celów:
- Oferuj szkolenia i podstawową certyfikację w zakresie bezpiecznego tworzenia oprogramowania.
- Zbuduj publiczny, niezależny od dostawcy pulpit nawigacyjny ryzyka oparty na obiektywnych metrykach dla 10 000 podstawowych komponentów open source.
- Przyspiesz przyjmowanie podpisów cyfrowych w różnych wersjach oprogramowania.
- Napraw główne przyczyny wielu luk w zabezpieczeniach, zastępując języki niebezpieczne dla pamięci (w niektórych przypadkach może to brzmieć jak zachęta do wprowadzenia Rusta do jądra Linuksa ).
- Stwórz zespół reagowania na incydenty OpenSSF, który będzie składał się z ekspertów ds. bezpieczeństwa, którzy mogą wkroczyć, aby pomóc projektom open source w krytycznych momentach i sprawić, by odpowiednio zareagowali na lukę w zabezpieczeniach.
- Przyspiesz wykrywanie nowych luk przez opiekunów i ekspertów dzięki zaawansowanym narzędziom bezpieczeństwa. Tutaj prawdopodobnie spotkamy się z możliwą konkurencją ze strony tych firm i instytucji, którym dano dzień zerowy.
- Raz w roku przeprowadzaj przeglądy i audyty kodu stron trzecich oraz wszelkie inne prace, aby objąć 200 najważniejszych komponentów open source.
- Koordynuj udostępnianie danych branżowych w sposób, który usprawnia badania w celu zidentyfikowania najważniejszych komponentów open source.
- Ulepsz narzędzia i szkolenia dotyczące Deklaracji Materiałów Oprogramowania (SBOM) w celu promowania adopcji.
- Wzbogać dziesięć najważniejszych narzędzi open source, w tym systemy kompilacji, menedżery pakietów i systemy dystrybucji, dzięki najlepszym praktykom i narzędziom w zakresie bezpieczeństwa łańcucha dostaw.
Aby poprawić bezpieczeństwo, firma Chainguard o otwartym kodzie źródłowym stworzyła Sigstore , standard, dzięki któremu programiści mogą bezpiecznie podpisywać artefakty oprogramowania, takie jak pliki, obrazy kontenerów, pliki binarne i inne. Daleki od bycia piosenką dla słońca, jest utrzymywany przez The Linux Foundation, Red Hat i Purdue University i został zaadoptowany przez Kubernetes.
Bezpieczeństwo oprogramowania wydanego jako open source jest coraz większym problemem w ostatnich dziesięcioleciach. Skandale takie jak Heartbleed i luka Apache Log4j pokazały, że wiele projektów nie posiada narzędzi niezbędnych do utrzymania odpowiedniego poziomu bezpieczeństwa, więc takie programy są mile widziane, jeśli rzeczywiście poprawiają bezpieczeństwo oprogramowania używanego przez użytkowników i firmę.
Wreszcie, Biały Dom ma bliższe relacje z open source, niż mogłoby się wydawać, do tego stopnia, że wypuszcza swoje moduły zbudowane za pomocą Drupala, CMS, który wie , czy nadal używa .
Dodaj komentarz