ten społeczność open source przedstawił 10-punktowy plan poprawy bezpieczeństwa i odporności swojego oprogramowania, gromadząc na szczycie w Waszyngtonie ponad 90 dyrektorów z 37 organizacji, wraz z urzędnikami rządowymi USA.
Odbyła się rok później od prezydenta Bidena zarządzenie w sprawie poprawy cyberbezpieczeństwa USAOpen Source Software Security Summit II został zorganizowany przez Fundacja Linuksa i Fundacja Bezpieczeństwa Oprogramowania Open Source (OpenSSF).
Plan nakreśla dwuletni program o wartości 150 mln USD (123 mln GBP) mający na celu opracowanie sprawdzonych rozwiązań 10 głównych problemów zidentyfikowanych w planie, a także ustanowienie solidnej ścieżki do bardziej natychmiastowych ulepszeń i podstaw do przyszłego rozwoju.
Grupa firm, Amazon, Ericsson, Google, Intel, Microsoft i VMware już obiecała ponad 30 milionów dolarów potrzebnej kwoty, przy czym w miarę dalszego rozwoju planu zostanie zidentyfikowanych więcej funduszy.
„W pierwszą rocznicę wydania dekretu prezydenta Bidena, dzisiaj jesteśmy tutaj, aby odpowiedzieć planem, który jest wykonalny, ponieważ open source jest kluczowym elementem naszego bezpieczeństwa narodowego i ma fundamentalne znaczenie dla miliardów dolarów inwestowanych dziś w innowacje w oprogramowaniu ”, powiedział dyrektor wykonawczy Linux Foundation Jim Zemlin.
„Mamy wspólny obowiązek podniesienia naszej zbiorowej odporności na cyberbezpieczeństwo i zwiększenia zaufania do samego oprogramowania. Ten plan reprezentuje nasz zjednoczony głos i nasze wspólne wezwanie do działania. Najważniejszym zadaniem przed nami jest przywództwo.”
Dyrektor wykonawczy OpenSSF, Brian Behlendorf, dodał: „To, co robimy tutaj razem, to konwergencja zestawu pomysłów i zasad dotyczących tego, co się tam dzieje i co możemy zrobić, aby to naprawić. Plan, który stworzyliśmy, przedstawia 10 flag w ziemi jako podstawę do rozpoczęcia. Nie możemy się doczekać dalszych informacji i zobowiązań, które przeprowadzą nas od planu do działania”.
10-punktowy plan, które można przeczytać w całości na stronie OpenSSFnastępująco:
- Zapewnienie podstawowej edukacji i certyfikacji w zakresie bezpiecznego rozwoju oprogramowania;
- Ustanowienie publicznego, niezależnego od dostawców, opartego na obiektywnych wskaźnikach pulpitu oceny ryzyka dla 10 000 powszechnie używanych komponentów oprogramowania typu open source (OSS);
- Przyspieszenie przyjmowania podpisów cyfrowych w wydaniach OSS;
- Aby wyeliminować główne przyczyny wielu luk w zabezpieczeniach, zastępując języki, które nie są bezpieczne dla pamięci;
- Powołanie zespołu reagowania na incydenty wspieranego przez OpenSSF, aby pomóc projektom open source w reagowaniu na ujawnione luki w zabezpieczeniach;
- Aby poprawić zdolność opiekunów i ekspertów do odkrywania nowych luk w projektach open source;
- Ustanowienie programu zewnętrznych audytów kodu i działań naprawczych dla maksymalnie 200 najbardziej krytycznych komponentów OSS;
- Koordynować udostępnianie danych w całej branży, aby poprawić sposób, w jaki społeczność określa, jakie faktycznie są najbardziej krytyczne komponenty OSS;
- Poprawa adaptacji narzędzi i szkoleń dotyczących zestawienia komponentów oprogramowania (SBOM);
- I wreszcie, aby ulepszyć 10 najbardziej krytycznych systemów budowania OSS, menedżerów pakietów i systemów dystrybucji o ulepszone narzędzia i praktyki bezpieczeństwa łańcucha dostaw.
Komentując plan, Mike Hanley, szef ochrony (CSO) at GitHubpowiedział: „Zabezpieczenie ekosystemu open source zaczyna się od udostępnienia programistom i opiekunom oprogramowania open source narzędzi i najlepszych praktyk, które są kluczowe dla zabezpieczenia łańcucha dostaw oprogramowania.
„Jako dom dla 83 milionów programistów na całym świecie, GitHub ma wyjątkową pozycję i jest zaangażowany w rozwijanie tych wysiłków. Kontynuowaliśmy nasze inwestycje, aby pomóc programistom i opiekunom osiągnąć lepsze wyniki w zakresie bezpieczeństwa dzięki inicjatywom, w tym egzekwowaniu 2FA na GitHub.com i NPM, otwarte pozyskiwanie bazy danych doradztwa GitHub, wsparcie finansowe dla programistów za pośrednictwem sponsorów GitHub oraz bezpłatne szkolenie w zakresie bezpieczeństwa za pośrednictwem laboratorium bezpieczeństwa GitHub.
„Bezpieczeństwo oprogramowania open source ma kluczowe znaczenie dla bezpieczeństwa całego oprogramowania. Szczyt II był ważnym kolejnym krokiem w ponownym połączeniu sektora prywatnego i publicznego i nie możemy się doczekać kontynuacji naszego partnerstwa, aby wywrzeć znaczący wpływ na przyszłość bezpieczeństwa oprogramowania” – powiedział.