यूनाइटेड स्टेट्स फ़ेडरल Cybersecurity & Infrastructure Security Agency (CISA) हाल ही में ओपन-सोर्स सॉफ़्टवेयर (OSS) की सुरक्षा बढ़ाने के लिए एक व्यापक रणनीति पेश की है। यह पहल मई 2021 में राष्ट्रपति जो बिडेन के कार्यकारी आदेश की एक महत्वपूर्ण प्रतिक्रिया है, जिसने साइबर सुरक्षा के महत्व को संबोधित किया और इसे बढ़ाने के लिए कदम सुझाए। इस आदेश के बाद से, इन साइबर सुरक्षा उद्देश्यों को पूरा करने के लिए कॉर्पोरेट संस्थाओं को प्रभावी दिशानिर्देश प्रदान करने में पर्याप्त प्रगति हुई है।
नया जारी किया गया रोडमैप इन साइबर सुरक्षा उपायों को मजबूत करने के लिए CISA का जवाब है, जो विशेष रूप से ओएसएस सुरक्षा पर केंद्रित है।
एजेंसी नवाचार को बढ़ावा देने और सॉफ्टवेयर विकास प्रक्रियाओं को सुविधाजनक बनाने में ओएसएस की विशाल क्षमता को स्वीकार करती है, और यह संघीय सरकार के मापदंडों के अंदर और बाहर दोनों जगह इसके सुरक्षित कार्यान्वयन और विकास को सक्षम करना चाहती है।
रोडमैप ओपन-सोर्स सॉफ़्टवेयर से संबंधित दो प्राथमिक प्रकार की संवेदनशीलताओं को चित्रित करता है। एक व्यापक रूप से उपयोग किए जाने वाले ओएसएस में कमजोरियों के संभावित तरंग प्रभाव हैं, जिसका उदाहरण लॉग4शेल घटना है, जहां ओएसएस में एक समझौते के बाद व्यापक हानिकारक प्रभाव देखे गए थे। दूसरे प्रकार में ओएसएस रिपॉजिटरी की आपूर्ति श्रृंखला पर हमले शामिल हैं, जिससे डेवलपर के खाते से समझौता होने जैसे हानिकारक डाउनस्ट्रीम प्रभाव हो सकते हैं, जिससे हमलावर दुर्भावनापूर्ण कोड एम्बेड करने में सक्षम हो सकता है।
रणनीति चार प्रमुख प्राथमिकताएं निर्धारित करती है, जिसमें ओपन-सोर्स सुरक्षा में CISA की सहायक भूमिका को परिभाषित करना, ओएसएस से जुड़े उपयोग और जोखिमों की दृश्यता बढ़ाना, संघीय सरकार के लिए जोखिमों को कम करना और ओपन-सोर्स पारिस्थितिकी तंत्र को मजबूत करना शामिल है।
CISA मानना है कि ये कदम ओपन-सोर्स सॉफ़्टवेयर के उसके परिकल्पित परिप्रेक्ष्य में योगदान देंगे। एजेंसी एक ओएसएस पारिस्थितिकी तंत्र की परिकल्पना करती है जो न केवल सुरक्षित है बल्कि टिकाऊ और लचीला है, जो एक मजबूत, विविध और गतिशील समुदाय पर आधारित है।
चेनगार्ड के सीईओ और आपूर्ति श्रृंखला सुरक्षा उद्यम के सह-संस्थापक डैन लोरेंक इस भावना को प्रतिध्वनित करते हैं। वह इस क्षेत्र में चुनौतियों के विस्तृत विभाजन और उनके समाधान को प्राथमिकता देने के लिए CISA सराहना करते हैं। वह CISA की इस मान्यता की सराहना करते हैं कि इस कार्य को 'अपस्ट्रीम' करने की आवश्यकता है और इसके कर्मचारियों को संबंधित समुदायों के साथ सीधे जुड़ना चाहिए। हालाँकि उन्होंने इस बिंदु के कार्यान्वयन के संबंध में कुछ अनिश्चितता व्यक्त की, फिर भी वे आशावादी दृष्टिकोण रखते हैं।
लोरेंक का सुझाव है कि सरकार को ओपन-सोर्स परियोजनाओं के वित्तपोषण पर विचार करना चाहिए - कुछ ऐसा जो वर्तमान में रोडमैप में संबोधित नहीं किया गया है। इन परियोजनाओं को वित्तीय रूप से समर्थन देने की सरकार की क्षमता स्मृति सुरक्षा बढ़ाने, कमजोरियों को हल करने और एसबीओएम टूलींग में सुधार जैसे लक्ष्यों को काफी हद तक सुविधाजनक बना सकती है।
लोरेंक ने यह भी उल्लेख किया कि सरकार के सहयोग मॉडल को निष्क्रिय प्रबंधन से आगे बढ़ना चाहिए और इन उपायों के सुधार में सक्रिय रूप से योगदान देना चाहिए।
AppMaster जैसे प्लेटफ़ॉर्म, मजबूत सुरक्षा, लचीलेपन और शीर्ष-स्तरीय उपयोगकर्ता अनुभव के संयोजन के साथ ओपन सोर्स सॉफ़्टवेयर पर बहुत अधिक निर्भर करते हैं। वे भी समान चिंताएं व्यक्त करते हैं और इस रोडमैप के सफल कार्यान्वयन की आशा करते हैं।
