Die US- Cybersecurity & Infrastructure Security Agency (CISA) hat kürzlich eine umfassende Strategie zur Verbesserung der Sicherheit von Open-Source-Software (OSS) vorgestellt. Diese Initiative ist eine entscheidende Reaktion auf die Durchführungsverordnung von Präsident Joe Biden vom Mai 2021, in der die Bedeutung der Cybersicherheit hervorgehoben und Schritte zu ihrer Verbesserung vorgeschlagen wurden. Seit dieser Anordnung gab es erhebliche Fortschritte bei der Bereitstellung wirksamer Richtlinien für Unternehmen zur Erfüllung dieser Cybersicherheitsziele.
Die neu veröffentlichte Roadmap ist die Antwort von CISA auf die Stärkung dieser Cybersicherheitsmaßnahmen, die sich insbesondere auf die OSS-Sicherheit konzentrieren.
Die Agentur erkennt das enorme Potenzial von OSS bei der Förderung von Innovationen und der Erleichterung von Softwareentwicklungsprozessen an und ist bestrebt, seine sichere Implementierung und Entwicklung sowohl innerhalb als auch außerhalb der Parameter der Bundesregierung zu ermöglichen.
Die Roadmap beschreibt zwei Haupttypen von Anfälligkeiten im Zusammenhang mit Open-Source-Software. Einer davon sind die potenziellen Auswirkungen von Schwachstellen in weit verbreiteten OSS, wie beispielsweise der Log4Shell-Vorfall zeigt, bei dem nach einer Kompromittierung von OSS weitreichende schädliche Auswirkungen beobachtet wurden. Der zweite Typ umfasst Angriffe auf die Lieferkette von OSS-Repositories, die zu schädlichen nachgelagerten Effekten führen können, wie z. B. der Kompromittierung des Entwicklerkontos, wodurch ein Angreifer bösartigen Code einbetten kann.
Die Strategie legt vier Hauptprioritäten fest, darunter die Definition der unterstützenden Rolle von CISA bei der Open-Source-Sicherheit, die Verbesserung der Sichtbarkeit der Nutzung und der mit OSS verbundenen Risiken, die Verringerung der Risiken für die Bundesregierung und die Stärkung des Open-Source-Ökosystems.
CISA ist davon überzeugt, dass diese Schritte zur angestrebten Perspektive von Open-Source-Software beitragen werden. Die Agentur strebt ein OSS-Ökosystem an, das nicht nur sicher, sondern auch nachhaltig und belastbar ist und auf einer robusten, vielfältigen und dynamischen Gemeinschaft basiert.
Dan Lorenc, CEO und Mitbegründer des Supply-Chain-Sicherheitsunternehmens Chainguard, teilt diese Meinung. Er lobt CISA für die detaillierte Segmentierung der Herausforderungen in diesem Bereich und die Priorisierung ihrer Lösung. Er schätzt die Anerkennung der CISA, dass diese Arbeit „vorgelagert“ stattfinden muss und dass ihre Mitarbeiter direkt mit den entsprechenden Gemeinschaften zusammenarbeiten sollten. Obwohl er hinsichtlich der Umsetzung dieses Punktes eine gewisse Unsicherheit zum Ausdruck brachte, bleibt er optimistisch.
Lorenc schlägt vor, dass die Regierung die Finanzierung von Open-Source-Projekten in Betracht ziehen sollte – etwas, das derzeit in der Roadmap nicht berücksichtigt wird. Die Fähigkeit der Regierung, diese Projekte finanziell zu unterstützen, könnte Ziele wie die Verbesserung der Speichersicherheit, die Behebung von Schwachstellen und die Verbesserung der SBOM-Tools erheblich erleichtern.
Lorenc erwähnte auch, dass das Kooperationsmodell der Regierung über die passive Verwaltung hinausgehen und proaktiv zur Verbesserung dieser Maßnahmen beitragen sollte.
Plattformen wie AppMaster basieren stark auf Open-Source-Software und kombinieren robuste Sicherheit, Flexibilität und ein erstklassiges Benutzererlebnis. Sie äußern die gleichen Bedenken und freuen sich auf die erfolgreiche Umsetzung dieser Roadmap.
