La Cybersecurity & Infrastructure Security Agency (CISA) federale degli Stati Uniti ha recentemente introdotto una strategia globale per migliorare la sicurezza del software open source (OSS). Questa iniziativa è una risposta fondamentale all'ordine esecutivo del presidente Joe Biden del maggio 2021, che affrontava l'importanza della sicurezza informatica e suggeriva misure per il suo miglioramento. Dopo questo ordine, c’è stato un movimento sostanziale nel fornire linee guida efficaci alle entità aziendali per raggiungere questi obiettivi di sicurezza informatica.
La tabella di marcia appena pubblicata è la risposta della CISA al rafforzamento di queste misure di sicurezza informatica, specificamente focalizzate sulla sicurezza OSS.
L'agenzia riconosce l'enorme potenziale dell'OSS nel promuovere l'innovazione e nel facilitare i processi di sviluppo del software, e cerca di consentirne l'implementazione e lo sviluppo sicuri, sia all'interno che all'esterno dei parametri del governo federale.
La tabella di marcia delinea due tipi principali di suscettibilità legati al software open source. Uno è rappresentato dai potenziali effetti a catena delle vulnerabilità negli OSS ampiamente utilizzati, esemplificati dall’incidente Log4Shell, in cui sono stati osservati diffusi effetti dannosi a seguito di una compromissione dell’OSS. Il secondo tipo comprende attacchi alla catena di fornitura dei repository OSS, che potrebbero portare a effetti dannosi a valle, come la compromissione dell'account di uno sviluppatore, consentendo a un utente malintenzionato di incorporare codice dannoso.
La strategia definisce quattro priorità principali, tra cui la definizione del ruolo di supporto della CISA nella sicurezza open source, il miglioramento della visibilità sull'utilizzo e sui rischi associati all'OSS, la riduzione dei rischi per il governo federale e il rafforzamento dell'ecosistema open source.
CISA ritiene che questi passi contribuiranno alla prospettiva prevista del software open source. L’agenzia prevede un ecosistema OSS che non sia solo sicuro ma sostenibile e resiliente, sostenuto da una comunità solida, diversificata e dinamica.
Dan Lorenc, CEO e co-fondatore dell'impresa di sicurezza della catena di fornitura, Chainguard, fa eco a questo sentimento. Egli elogia CISA per la segmentazione dettagliata delle sfide in questo settore e per aver dato priorità alla loro risoluzione. Apprezza il riconoscimento da parte della CISA del fatto che questo lavoro deve svolgersi "a monte" e che i suoi dipendenti dovrebbero impegnarsi direttamente con le comunità correlate. Pur esprimendo qualche incertezza riguardo all'attuazione di questo punto, mantiene una visione ottimistica.
Lorenc suggerisce che il governo dovrebbe prendere in considerazione il finanziamento di progetti open source, qualcosa che attualmente non è affrontato nella tabella di marcia. La capacità del governo di sostenere finanziariamente questi progetti potrebbe facilitare notevolmente obiettivi quali il miglioramento della sicurezza della memoria, la risoluzione delle vulnerabilità e il miglioramento degli strumenti SBOM.
Lorenc ha anche affermato che il modello di collaborazione del governo dovrebbe andare oltre la gestione passiva e contribuire in modo proattivo al miglioramento di queste misure.
Piattaforme come AppMaster fanno molto affidamento su software open source, combinando solida sicurezza, flessibilità e un'esperienza utente al top della gamma. Ripetono le stesse preoccupazioni e attendono con ansia la riuscita attuazione di questa tabella di marcia.
