Федеральное Cybersecurity & Infrastructure Security Agency (CISA) недавно представило комплексную стратегию повышения безопасности программного обеспечения с открытым исходным кодом (OSS). Эта инициатива является критическим ответом на указ президента Джо Байдена от мая 2021 года, в котором подчеркивалась важность кибербезопасности и предлагались шаги по ее усилению. С момента принятия этого приказа произошел значительный прогресс в предоставлении юридическим лицам эффективных руководящих указаний по выполнению этих задач в области кибербезопасности.
Недавно выпущенная дорожная карта является ответом CISA на усиление этих мер кибербезопасности, особенно ориентированных на безопасность OSS.
Агентство признает огромный потенциал OSS в стимулировании инноваций и облегчении процессов разработки программного обеспечения и стремится обеспечить его безопасное внедрение и развитие как внутри, так и за пределами федерального правительства.
Дорожная карта определяет два основных типа уязвимостей, связанных с программным обеспечением с открытым исходным кодом. Одним из них является потенциальное волновое воздействие уязвимостей в широко используемых OSS, примером которого является инцидент Log4Shell, где наблюдались широкомасштабные пагубные последствия после взлома OSS. Второй тип включает в себя атаки на цепочку поставок репозиториев OSS, которые могут привести к вредоносным последствиям в дальнейшем, например, к компрометации учетной записи разработчика, что позволит злоумышленнику внедрить вредоносный код.
Стратегия устанавливает четыре основных приоритета, включая определение вспомогательной роли CISA в обеспечении безопасности с открытым исходным кодом, повышение прозрачности использования и рисков, связанных с OSS, снижение рисков для федерального правительства и укрепление экосистемы с открытым исходным кодом.
CISA считает, что эти шаги будут способствовать реализации намеченной перспективы программного обеспечения с открытым исходным кодом. Агентство предусматривает создание экосистемы OSS, которая будет не только безопасной, но и устойчивой и отказоустойчивой, подкрепленной надежным, разнообразным и динамичным сообществом.
Дэн Лоренц, генеральный директор и соучредитель компании Chainguard, занимающейся безопасностью цепочек поставок, разделяет это мнение. Он высоко оценивает CISA за детальную сегментацию проблем в этой области и определение приоритетности их решения. Он ценит признание CISA того, что эта работа должна проводиться «вверх по течению» и что ее сотрудники должны напрямую взаимодействовать с соответствующими сообществами. Хотя он и выразил некоторую неуверенность в реализации этого пункта, он сохраняет оптимистический взгляд.
Лоренц предлагает правительству рассмотреть возможность финансирования проектов с открытым исходным кодом — что в настоящее время не рассматривается в дорожной карте. Способность правительства оказывать финансовую поддержку этим проектам может значительно способствовать достижению таких целей, как повышение безопасности памяти, устранение уязвимостей и улучшение инструментов SBOM.
Лоренц также отметил, что модель сотрудничества правительства должна выйти за рамки пассивного управления и активно способствовать совершенствованию этих мер.
Платформы, такие как AppMaster, в значительной степени полагаются на программное обеспечение с открытым исходным кодом, сочетающее в себе надежную безопасность, гибкость и первоклассный пользовательский интерфейс. Они разделяют те же опасения и надеются на успешную реализацию этой дорожной карты.
