Społeczność open source wyznacza ścieżkę do bezpiecznego oprogramowania


ten społeczność open source przedstawił 10-punktowy plan poprawy bezpieczeństwa i odporności swojego oprogramowania, gromadząc na szczycie w Waszyngtonie ponad 90 dyrektorów z 37 organizacji, wraz z urzędnikami rządowymi USA.

Odbyła się rok później od prezydenta Bidena zarządzenie w sprawie poprawy cyberbezpieczeństwa USAOpen Source Software Security Summit II został zorganizowany przez Fundacja Linuksa i Fundacja Bezpieczeństwa Oprogramowania Open Source (OpenSSF).

Plan nakreśla dwuletni program o wartości 150 mln USD (123 mln GBP) mający na celu opracowanie sprawdzonych rozwiązań 10 głównych problemów zidentyfikowanych w planie, a także ustanowienie solidnej ścieżki do bardziej natychmiastowych ulepszeń i podstaw do przyszłego rozwoju.

Grupa firm, Amazon, Ericsson, Google, Intel, Microsoft i VMware już obiecała ponad 30 milionów dolarów potrzebnej kwoty, przy czym w miarę dalszego rozwoju planu zostanie zidentyfikowanych więcej funduszy.

„W pierwszą rocznicę wydania dekretu prezydenta Bidena, dzisiaj jesteśmy tutaj, aby odpowiedzieć planem, który jest wykonalny, ponieważ open source jest kluczowym elementem naszego bezpieczeństwa narodowego i ma fundamentalne znaczenie dla miliardów dolarów inwestowanych dziś w innowacje w oprogramowaniu ”, powiedział dyrektor wykonawczy Linux Foundation Jim Zemlin.

„Mamy wspólny obowiązek podniesienia naszej zbiorowej odporności na cyberbezpieczeństwo i zwiększenia zaufania do samego oprogramowania. Ten plan reprezentuje nasz zjednoczony głos i nasze wspólne wezwanie do działania. Najważniejszym zadaniem przed nami jest przywództwo.”

Reklama

Dyrektor wykonawczy OpenSSF, Brian Behlendorf, dodał: „To, co robimy tutaj razem, to konwergencja zestawu pomysłów i zasad dotyczących tego, co się tam dzieje i co możemy zrobić, aby to naprawić. Plan, który stworzyliśmy, przedstawia 10 flag w ziemi jako podstawę do rozpoczęcia. Nie możemy się doczekać dalszych informacji i zobowiązań, które przeprowadzą nas od planu do działania”.

10-punktowy plan, które można przeczytać w całości na stronie OpenSSFnastępująco:

  1. Zapewnienie podstawowej edukacji i certyfikacji w zakresie bezpiecznego rozwoju oprogramowania;
  2. Ustanowienie publicznego, niezależnego od dostawców, opartego na obiektywnych wskaźnikach pulpitu oceny ryzyka dla 10 000 powszechnie używanych komponentów oprogramowania typu open source (OSS);
  3. Przyspieszenie przyjmowania podpisów cyfrowych w wydaniach OSS;
  4. Aby wyeliminować główne przyczyny wielu luk w zabezpieczeniach, zastępując języki, które nie są bezpieczne dla pamięci;
  5. Powołanie zespołu reagowania na incydenty wspieranego przez OpenSSF, aby pomóc projektom open source w reagowaniu na ujawnione luki w zabezpieczeniach;
  6. Aby poprawić zdolność opiekunów i ekspertów do odkrywania nowych luk w projektach open source;
  7. Ustanowienie programu zewnętrznych audytów kodu i działań naprawczych dla maksymalnie 200 najbardziej krytycznych komponentów OSS;
  8. Koordynować udostępnianie danych w całej branży, aby poprawić sposób, w jaki społeczność określa, jakie faktycznie są najbardziej krytyczne komponenty OSS;
  9. Poprawa adaptacji narzędzi i szkoleń dotyczących zestawienia komponentów oprogramowania (SBOM);
  10. I wreszcie, aby ulepszyć 10 najbardziej krytycznych systemów budowania OSS, menedżerów pakietów i systemów dystrybucji o ulepszone narzędzia i praktyki bezpieczeństwa łańcucha dostaw.

Komentując plan, Mike Hanley, szef ochrony (CSO) at GitHubpowiedział: „Zabezpieczenie ekosystemu open source zaczyna się od udostępnienia programistom i opiekunom oprogramowania open source narzędzi i najlepszych praktyk, które są kluczowe dla zabezpieczenia łańcucha dostaw oprogramowania.

„Jako dom dla 83 milionów programistów na całym świecie, GitHub ma wyjątkową pozycję i jest zaangażowany w rozwijanie tych wysiłków. Kontynuowaliśmy nasze inwestycje, aby pomóc programistom i opiekunom osiągnąć lepsze wyniki w zakresie bezpieczeństwa dzięki inicjatywom, w tym egzekwowaniu 2FA na GitHub.com i NPM, otwarte pozyskiwanie bazy danych doradztwa GitHub, wsparcie finansowe dla programistów za pośrednictwem sponsorów GitHub oraz bezpłatne szkolenie w zakresie bezpieczeństwa za pośrednictwem laboratorium bezpieczeństwa GitHub.

„Bezpieczeństwo oprogramowania open source ma kluczowe znaczenie dla bezpieczeństwa całego oprogramowania. Szczyt II był ważnym kolejnym krokiem w ponownym połączeniu sektora prywatnego i publicznego i nie możemy się doczekać kontynuacji naszego partnerstwa, aby wywrzeć znaczący wpływ na przyszłość bezpieczeństwa oprogramowania” – powiedział.



Source link

Advertisment

Więcej

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Advertisment

Podobne

Advertisment

Najnowsze

Śledź utwory, których chcesz posłuchać później za pomocą MusicBox

iOS ma wiele sposobów, aby pomóc Ci odkrywać nowe utwory, w tym wbudowana integracja z Shazam. Ale co, jeśli z jakiegoś powodu...

Nowa zasada Apple App Store dla łatwiejszego usuwania kont i danych trafi 30 czerwca

Podczas imprezy WWDC 2021 firma Apple wprowadziła szereg zmian zasad dotyczących App Store, dostosowanie zasad do wszystkiego od polowania na nagrody...

Twórcy Dream Daddy tworzą następny horror psychologiczny

Rogue Games i Game Grumps współpracowali przy tworzeniu wymarzony tato: Symulator randkowania z tatą w 2017 roku — gra, która początkowo...
Advertisment

Chcesz być na bieżąco z najnowszymi wiadomościami?

Bardzo chcielibyśmy usłyszeć od Ciebie! Podaj swoje dane, a pozostaniemy w kontakcie. To takie proste!