A Cybersecurity & Infrastructure Security Agency (CISA) Estados Unidos introduziu recentemente uma estratégia abrangente para melhorar a segurança do software de código aberto (OSS). Esta iniciativa é uma resposta crítica à ordem executiva do Presidente Joe Biden de maio de 2021, que abordou a importância da segurança cibernética e sugeriu medidas para o seu melhoramento. Desde esta ordem, tem havido um movimento substancial no fornecimento de diretrizes eficazes às entidades corporativas para cumprir estes objetivos de segurança cibernética.
O roteiro recém-lançado é a resposta da CISA para fortalecer essas medidas de segurança cibernética, focadas especificamente na segurança do OSS.
A agência reconhece o enorme potencial do OSS na promoção da inovação e na facilitação dos processos de desenvolvimento de software, e busca viabilizar sua implementação e desenvolvimento seguros, dentro e fora dos parâmetros do governo federal.
O roteiro delineia dois tipos principais de suscetibilidades relacionadas ao software de código aberto. Um deles são os potenciais efeitos em cascata das vulnerabilidades em OSS amplamente utilizados, exemplificados pelo incidente Log4Shell, onde efeitos prejudiciais generalizados foram observados após um comprometimento no OSS. O segundo tipo abrange ataques à cadeia de abastecimento de repositórios OSS, que podem levar a efeitos prejudiciais a jusante, como o comprometimento da conta de um desenvolvedor, permitindo que um invasor incorpore código malicioso.
A estratégia estabelece quatro prioridades principais, incluindo a definição do papel de apoio da CISA na segurança de código aberto, aumentando a visibilidade da utilização e dos riscos associados ao OSS, diminuindo os riscos para o governo federal e fortalecendo o ecossistema de código aberto.
CISA acredita que estas etapas contribuirão para a perspectiva prevista de software de código aberto. A agência prevê um ecossistema OSS que não seja apenas seguro, mas também sustentável e resiliente, sustentado por uma comunidade robusta, diversificada e dinâmica.
Dan Lorenc, CEO e cofundador da empresa de segurança da cadeia de suprimentos Chainguard, concorda com esse sentimento. Ele elogia CISA pela segmentação detalhada dos desafios neste domínio e pela priorização da sua resolução. Ele aprecia o reconhecimento da CISA de que este trabalho precisa de ser realizado “a montante” e que os seus funcionários devem envolver-se directamente com as comunidades relacionadas. Embora tenha manifestado alguma incerteza quanto à implementação deste ponto, mantém uma visão optimista.
Lorenc sugere que o governo deveria considerar o financiamento de projetos de código aberto – algo que atualmente não é abordado no roteiro. A capacidade do governo de apoiar financeiramente estes projetos poderia facilitar enormemente objetivos como melhorar a segurança da memória, resolver vulnerabilidades e melhorar as ferramentas SBOM.
Lorenc também mencionou que o modelo de colaboração do governo deve ir além da administração passiva e contribuir proativamente para a melhoria destas medidas.
Plataformas como AppMaster dependem fortemente de software de código aberto, combinando segurança robusta, flexibilidade e uma experiência de usuário de primeira linha. Fazem eco das mesmas preocupações e aguardam com expectativa a implementação bem sucedida deste roteiro.