Federalna Cybersecurity & Infrastructure Security Agency (CISA) wprowadziła niedawno kompleksową strategię zwiększania bezpieczeństwa oprogramowania typu open source (OSS). Inicjatywa ta stanowi krytyczną reakcję na zarządzenie prezydenta Joe Bidena z maja 2021 r., w którym poruszono znaczenie cyberbezpieczeństwa i zaproponowano kroki mające na celu jego wzmocnienie. Od czasu wydania tego rozporządzenia nastąpił znaczny postęp w zapewnianiu skutecznych wytycznych podmiotom korporacyjnym, aby mogły realizować te cele w zakresie cyberbezpieczeństwa.
Nowo opublikowany plan działania jest odpowiedzią CISA na wzmocnienie środków cyberbezpieczeństwa, ze szczególnym uwzględnieniem bezpieczeństwa OSS.
Agencja uznaje ogromny potencjał OSS we wspieraniu innowacji i ułatwianiu procesów tworzenia oprogramowania i stara się umożliwić jego bezpieczne wdrażanie i rozwój, zarówno w ramach parametrów rządu federalnego, jak i poza nim.
W planie działania określono dwa główne typy podatności związanych z oprogramowaniem typu open source. Jednym z nich jest potencjalny efekt uboczny luk w powszechnie używanych systemach OSS, czego przykładem jest incydent Log4Shell, w którym zaobserwowano szeroko rozpowszechnione szkodliwe skutki w wyniku naruszenia bezpieczeństwa OSS. Drugi typ obejmuje ataki na łańcuch dostaw repozytoriów OSS, które mogą prowadzić do szkodliwych skutków na dalszych etapach, takich jak naruszenie bezpieczeństwa konta programisty i umożliwienie osobie atakującej osadzenia złośliwego kodu.
Strategia wyznacza cztery główne priorytety, w tym zdefiniowanie wspierającej roli CISA w bezpieczeństwie open source, zwiększenie wglądu w wykorzystanie i ryzyko związane z OSS, zmniejszenie ryzyka dla rządu federalnego oraz wzmocnienie ekosystemu open source.
CISA wierzy, że te kroki przyczynią się do przewidywanej perspektywy oprogramowania typu open source. Agencja przewiduje, że ekosystem OSS będzie nie tylko bezpieczny, ale także zrównoważony i odporny, oparty na solidnej, zróżnicowanej i dynamicznej społeczności.
Dan Lorenc, dyrektor generalny i współzałożyciel firmy Chainguard zajmującej się bezpieczeństwem łańcucha dostaw, podziela tę opinię. Gratuluje CISA za szczegółową segmentację wyzwań w tej dziedzinie i priorytetowe traktowanie ich rozwiązania. Docenia uznanie przez CISA faktu, że prace te muszą być prowadzone „na wyższym szczeblu łańcucha dostaw” i że jej pracownicy powinni bezpośrednio kontaktować się z powiązanymi społecznościami. Chociaż wyraził pewną niepewność co do wdrożenia tego punktu, podtrzymuje optymistyczną opinię.
Lorenc sugeruje, że rząd powinien rozważyć finansowanie projektów typu open source – kwestii, która nie jest obecnie uwzględniona w planie działania. Zdolność rządu do finansowego wsparcia tych projektów mogłaby znacznie ułatwić osiągnięcie takich celów, jak zwiększenie bezpieczeństwa pamięci, usuwanie luk w zabezpieczeniach i ulepszanie narzędzi SBOM.
Lorenc wspomniał również, że rządowy model współpracy powinien wykraczać poza bierne zarządzanie i aktywnie przyczyniać się do ulepszania tych środków.
Platformy takie jak AppMaster w dużym stopniu opierają się na oprogramowaniu typu open source, łączącym w sobie solidne zabezpieczenia, elastyczność i najwyższą wygodę użytkowania. Powtarzają te same obawy i nie mogą się doczekać pomyślnej realizacji tego planu działania.
