Cybersecurity & Infrastructure Security Agency (CISA) ของรัฐบาลกลางสหรัฐอเมริกาได้เปิดตัวกลยุทธ์ที่ครอบคลุมเพื่อเพิ่มความปลอดภัยของซอฟต์แวร์โอเพ่นซอร์ส (OSS) โครงการริเริ่มนี้เป็นการตอบสนองที่สำคัญต่อคำสั่งบริหารของประธานาธิบดีโจ ไบเดนในเดือนพฤษภาคม 2021 ซึ่งกล่าวถึงความสำคัญของความปลอดภัยทางไซเบอร์และขั้นตอนที่แนะนำสำหรับการปรับปรุง นับตั้งแต่คำสั่งนี้ มีความเคลื่อนไหวที่สำคัญในการให้แนวทางที่มีประสิทธิภาพแก่องค์กรองค์กรเพื่อบรรลุวัตถุประสงค์ด้านความปลอดภัยทางไซเบอร์เหล่านี้
โรดแมปที่เพิ่งเปิดตัวคือคำตอบของ CISA ในการเสริมสร้างมาตรการรักษาความปลอดภัยทางไซเบอร์เหล่านี้ โดยมุ่งเน้นที่ความปลอดภัยของ OSS โดยเฉพาะ
หน่วยงานรับทราบถึงศักยภาพมหาศาลของ OSS ในการส่งเสริมนวัตกรรมและอำนวยความสะดวกในกระบวนการพัฒนาซอฟต์แวร์ และพยายามที่จะเปิดใช้งานและการพัฒนาอย่างปลอดภัย ทั้งในและนอกพารามิเตอร์ของรัฐบาลกลาง
แผนงานนี้อธิบายถึงความอ่อนแอสองประเภทหลักที่เกี่ยวข้องกับซอฟต์แวร์โอเพ่นซอร์ส ประการหนึ่งคือผลกระทบระลอกคลื่นที่อาจเกิดขึ้นจากช่องโหว่ใน OSS ที่ใช้กันอย่างแพร่หลาย ดังตัวอย่างจากเหตุการณ์ Log4Shell ซึ่งพบผลกระทบที่เป็นอันตรายอย่างกว้างขวางหลังจากการประนีประนอมใน OSS ประเภทที่สองครอบคลุมการโจมตีในห่วงโซ่อุปทานของที่เก็บ OSS ซึ่งอาจนำไปสู่ผลกระทบดาวน์สตรีมที่เป็นอันตราย เช่น บัญชีของนักพัฒนาถูกบุกรุก ทำให้ผู้โจมตีสามารถฝังโค้ดที่เป็นอันตรายได้
กลยุทธ์ดังกล่าวกำหนดลำดับความสำคัญหลัก 4 ประการ ซึ่งรวมถึงการกำหนดบทบาทสนับสนุนของ CISA ในด้านการรักษาความปลอดภัยของโอเพ่นซอร์ส การเพิ่มการมองเห็นในการใช้งานและความเสี่ยงที่เกี่ยวข้องกับ OSS การลดความเสี่ยงต่อรัฐบาลกลาง และการเสริมสร้างระบบนิเวศโอเพ่นซอร์สให้แข็งแกร่งขึ้น
CISA เชื่อว่าขั้นตอนเหล่านี้จะส่งผลต่อมุมมองของซอฟต์แวร์โอเพ่นซอร์ส หน่วยงานมองเห็นระบบนิเวศ OSS ที่ไม่เพียงแต่ปลอดภัย แต่ยังยั่งยืนและฟื้นตัวได้ โดยได้รับการสนับสนุนจากชุมชนที่แข็งแกร่ง มีความหลากหลาย และมีชีวิตชีวา
Dan Lorenc ซีอีโอและผู้ร่วมก่อตั้ง Chainguard องค์กรรักษาความปลอดภัยด้านซัพพลายเชน สะท้อนความรู้สึกนี้ เขายกย่อง CISA สำหรับการแบ่งส่วนความท้าทายในขอบเขตนี้โดยละเอียดและจัดลำดับความสำคัญของการแก้ปัญหา เขาชื่นชมการยอมรับของ CISA ว่างานนี้จำเป็นต้องเกิดขึ้น "ต้นน้ำ" และพนักงานควรมีส่วนร่วมโดยตรงกับชุมชนที่เกี่ยวข้อง แม้ว่าเขาจะแสดงความไม่แน่ใจบางประการเกี่ยวกับการดำเนินการตามประเด็นนี้ แต่เขายังคงมีมุมมองในแง่ดี
Lorenc แนะนำว่ารัฐบาลควรพิจารณาจัดหาเงินทุนสำหรับโครงการโอเพ่นซอร์ส ซึ่งเป็นสิ่งที่ยังไม่ได้ระบุไว้ในแผนงานในปัจจุบัน ความสามารถของรัฐบาลในการสนับสนุนโครงการเหล่านี้ทางการเงินสามารถอำนวยความสะดวกเป้าหมายได้อย่างมาก เช่น การเพิ่มความปลอดภัยของหน่วยความจำ การแก้ไขช่องโหว่ และการปรับปรุงเครื่องมือ SBOM
Lorenc ยังกล่าวอีกว่ารูปแบบความร่วมมือของรัฐบาลควรก้าวไปไกลกว่าการดูแลแบบเฉยๆ และมีส่วนช่วยในการปรับปรุงมาตรการเหล่านี้ในเชิงรุก
แพลตฟอร์ม เช่น AppMaster พึ่งพาซอฟต์แวร์โอเพ่นซอร์สเป็นอย่างมาก โดยผสมผสานการรักษาความปลอดภัยที่แข็งแกร่ง ความยืดหยุ่น และประสบการณ์ผู้ใช้ระดับแนวหน้า พวกเขาสะท้อนข้อกังวลเดียวกันและหวังว่าจะดำเนินการตามแผนงานนี้ให้ประสบความสำเร็จ