قدمت Cybersecurity & Infrastructure Security Agency (CISA) مؤخرًا استراتيجية شاملة لتعزيز أمن البرمجيات مفتوحة المصدر (OSS). تعد هذه المبادرة استجابة حاسمة للأمر التنفيذي الذي أصدره الرئيس جو بايدن في مايو 2021، والذي تناول أهمية الأمن السيبراني واقترح خطوات لتعزيزه. منذ هذا الأمر، كانت هناك حركة كبيرة في توفير إرشادات فعالة لكيانات الشركات لتحقيق أهداف الأمن السيبراني هذه.
إن خارطة الطريق التي تم إصدارها حديثًا هي إجابة CISA لتعزيز تدابير الأمن السيبراني هذه، والتي تركز بشكل خاص على سلامة برمجيات المصدر المفتوح.
تدرك الوكالة الإمكانات الهائلة لبرمجيات المصدر المفتوح في تعزيز الابتكار وتسهيل عمليات تطوير البرمجيات، وتسعى إلى تمكين تنفيذها وتطويرها بشكل آمن، داخل وخارج معايير الحكومة الفيدرالية.
تحدد خارطة الطريق نوعين أساسيين من الحساسيات المتعلقة بالبرمجيات مفتوحة المصدر. الأول هو التأثيرات المحتملة لنقاط الضعف في برمجيات المصدر المفتوح المستخدمة على نطاق واسع، والتي تجسدت في حادثة Log4Shell، حيث لوحظت آثار ضارة واسعة النطاق بعد حدوث تسوية في برمجيات المصدر المفتوح. النوع الثاني يشمل الهجمات على سلسلة التوريد لمستودعات OSS، والتي يمكن أن تؤدي إلى تأثيرات ضارة مثل اختراق حساب المطور، مما يمكّن المهاجم من تضمين تعليمات برمجية ضارة.
تحدد الإستراتيجية أربع أولويات رئيسية، بما في ذلك تحديد الدور الداعم لـ CISA في أمن المصادر المفتوحة، وتعزيز الرؤية حول الاستخدام والمخاطر المرتبطة ببرمجيات المصدر المفتوح، وتقليل المخاطر التي تتعرض لها الحكومة الفيدرالية، وتعزيز النظام البيئي مفتوح المصدر.
تعتقد CISA أن هذه الخطوات سوف تساهم في منظورها المتصور للبرمجيات مفتوحة المصدر. تتصور الوكالة نظامًا بيئيًا لبرمجيات المصدر المفتوح ليس آمنًا فحسب، بل أيضًا مستدامًا ومرنًا، ويدعمه مجتمع قوي ومتنوع وديناميكي.
ويعكس دان لورينك، الرئيس التنفيذي والمؤسس المشارك لمؤسسة أمن سلسلة التوريد، Chainguard، هذا الشعور. وهو يثني على CISA لتقسيمها التفصيلي للتحديات في هذا المجال وتحديد أولويات حلها. وهو يقدر اعتراف CISA بأن هذا العمل يجب أن يتم "في المنبع" وأن موظفيها يجب أن يتعاملوا مباشرة مع المجتمعات ذات الصلة. وعلى الرغم من أنه أعرب عن بعض عدم اليقين بشأن تنفيذ هذه النقطة، إلا أنه يحتفظ بوجهة نظر متفائلة.
يقترح لورينك أن الحكومة يجب أن تفكر في تمويل المشاريع مفتوحة المصدر، وهو أمر لم يتم تناوله حاليًا في خريطة الطريق. إن قدرة الحكومة على دعم هذه المشاريع ماليًا يمكن أن تسهل بشكل كبير تحقيق أهداف مثل تعزيز أمان الذاكرة وحل نقاط الضعف وتحسين أدوات SBOM.
وذكر لورينك أيضًا أن نموذج التعاون الحكومي يجب أن يتجاوز الإدارة السلبية ويساهم بشكل استباقي في تحسين هذه التدابير.
تعتمد الأنظمة الأساسية، مثل AppMaster ، بشكل كبير على البرامج مفتوحة المصدر، وتجمع بين الأمان القوي والمرونة وتجربة المستخدم المتطورة. وهم يرددون نفس المخاوف ويتطلعون إلى التنفيذ الناجح لخارطة الطريق هذه.
