La Cybersecurity & Infrastructure Security Agency (CISA) introdujo recientemente una estrategia integral para mejorar la seguridad del software de código abierto (OSS). Esta iniciativa es una respuesta fundamental a la orden ejecutiva del presidente Joe Biden de mayo de 2021, que abordó la importancia de la ciberseguridad y sugirió medidas para mejorarla. Desde esta orden, ha habido un movimiento sustancial para proporcionar pautas efectivas a las entidades corporativas para cumplir con estos objetivos de ciberseguridad.
La hoja de ruta recientemente publicada es la respuesta de CISA para fortalecer estas medidas de ciberseguridad, específicamente centradas en la seguridad de OSS.
La agencia reconoce el enorme potencial del OSS para fomentar la innovación y facilitar los procesos de desarrollo de software, y busca permitir su implementación y desarrollo seguros, tanto dentro como fuera de los parámetros del gobierno federal.
La hoja de ruta describe dos tipos principales de susceptibilidades relacionadas con el software de código abierto. Uno de ellos es el posible efecto dominó de las vulnerabilidades en el OSS ampliamente utilizado, ejemplificado por el incidente de Log4Shell, donde se observaron efectos perjudiciales generalizados tras un compromiso en el OSS. El segundo tipo abarca ataques a la cadena de suministro de repositorios OSS, que podrían provocar efectos nocivos posteriores, como que se comprometa la cuenta de un desarrollador, lo que permitiría a un atacante insertar código malicioso.
La estrategia establece cuatro prioridades principales, incluida la definición del papel de apoyo de CISA en la seguridad del código abierto, la mejora de la visibilidad de la utilización y los riesgos asociados con el OSS, la reducción de los riesgos para el gobierno federal y el fortalecimiento del ecosistema de código abierto.
CISA cree que estos pasos contribuirán a la perspectiva prevista del software de código abierto. La agencia prevé un ecosistema OSS que no sólo sea seguro sino también sostenible y resiliente, respaldado por una comunidad sólida, diversa y dinámica.
Dan Lorenc, director ejecutivo y cofundador de la empresa de seguridad de la cadena de suministro Chainguard, se hace eco de este sentimiento. Elogia CISA por su detallada segmentación de los desafíos en este ámbito y por priorizar su resolución. Aprecia el reconocimiento por parte de CISA de que este trabajo debe llevarse a cabo "en sentido ascendente" y que sus empleados deben involucrarse directamente con las comunidades relacionadas. Aunque expresó cierta incertidumbre sobre la implementación de este punto, mantiene una visión optimista.
Lorenc sugiere que el gobierno debería considerar financiar proyectos de código abierto, algo que actualmente no se aborda en la hoja de ruta. La capacidad del gobierno para apoyar financieramente estos proyectos podría facilitar en gran medida objetivos como mejorar la seguridad de la memoria, resolver vulnerabilidades y mejorar las herramientas SBOM.
Lorenc también mencionó que el modelo de colaboración del Gobierno debería ir más allá de una gestión pasiva y contribuir de forma proactiva a la mejora de estas medidas.
Las plataformas, como AppMaster, dependen en gran medida del software de código abierto, que combina seguridad sólida, flexibilidad y una experiencia de usuario de primer nivel. Se hacen eco de las mismas preocupaciones y esperan con interés la implementación exitosa de esta hoja de ruta.
