De Amerikaanse federale Cybersecurity & Infrastructure Security Agency (CISA) heeft onlangs een alomvattende strategie geïntroduceerd om de beveiliging van open-sourcesoftware (OSS) te verbeteren. Dit initiatief is een kritische reactie op het uitvoerend bevel van president Joe Biden van mei 2021, waarin het belang van cyberbeveiliging aan de orde werd gesteld en stappen werden voorgesteld voor de verbetering ervan. Sinds dit bevel is er aanzienlijke vooruitgang geboekt in het verstrekken van effectieve richtlijnen aan bedrijfsentiteiten om deze cyberbeveiligingsdoelstellingen te verwezenlijken.
De onlangs vrijgegeven routekaart is het antwoord van CISA op het versterken van deze cyberbeveiligingsmaatregelen, specifiek gericht op OSS-veiligheid.
Het agentschap erkent het enorme potentieel van OSS bij het bevorderen van innovatie en het faciliteren van softwareontwikkelingsprocessen, en streeft ernaar de veilige implementatie en ontwikkeling ervan mogelijk te maken, zowel binnen als buiten de parameters van de federale overheid.
De routekaart schetst twee primaire soorten gevoeligheden met betrekking tot open-sourcesoftware. Eén daarvan zijn de potentiële rimpeleffecten van kwetsbaarheden in veelgebruikte OSS, geïllustreerd door het Log4Shell-incident, waarbij wijdverbreide schadelijke effecten werden waargenomen na een compromis in OSS. Het tweede type omvat aanvallen op de toeleveringsketen van OSS-repository's, die kunnen leiden tot schadelijke downstream-effecten, zoals het in gevaar brengen van het account van een ontwikkelaar, waardoor een aanvaller kwaadaardige code kan insluiten.
De strategie zet vier hoofdprioriteiten uiteen, waaronder het definiëren van de ondersteunende rol van CISA op het gebied van open-sourcebeveiliging, het vergroten van de zichtbaarheid in het gebruik en de risico's die met OSS gepaard gaan, het verminderen van de risico's voor de federale overheid en het versterken van het open-source-ecosysteem.
CISA is van mening dat deze stappen zullen bijdragen aan het beoogde perspectief van open source software. Het bureau heeft een OSS-ecosysteem voor ogen dat niet alleen veilig, maar ook duurzaam en veerkrachtig is, ondersteund door een robuuste, diverse en dynamische gemeenschap.
Dan Lorenc, CEO en mede-oprichter van Chainguard, een onderneming voor supply chain security, herhaalt dit sentiment. Hij prijst CISA voor de gedetailleerde segmentatie van de uitdagingen op dit gebied en het prioriteren van de oplossing ervan. Hij waardeert de erkenning van CISA dat dit werk 'upstream' moet plaatsvinden en dat haar medewerkers rechtstreeks met verwante gemeenschappen moeten samenwerken. Hoewel hij enige onzekerheid uitte over de implementatie van dit punt, blijft hij optimistisch.
Lorenc suggereert dat de overheid zou moeten overwegen om open-sourceprojecten te financieren – iets dat momenteel niet in de routekaart wordt behandeld. Het vermogen van de overheid om deze projecten financieel te ondersteunen zou doelen als het verbeteren van de geheugenveiligheid, het oplossen van kwetsbaarheden en het verbeteren van SBOM-tools enorm kunnen faciliteren.
Lorenc zei ook dat het samenwerkingsmodel van de overheid verder moet gaan dan passief rentmeesterschap en proactief moet bijdragen aan de verbetering van deze maatregelen.
Platforms, zoals AppMaster, zijn sterk afhankelijk van open source-software en combineren robuuste beveiliging, flexibiliteit en een eersteklas gebruikerservaring. Zij onderschrijven dezelfde zorgen en kijken uit naar de succesvolle implementatie van deze routekaart.