Amerika Birleşik Devletleri federal Cybersecurity & Infrastructure Security Agency (CISA) yakın zamanda açık kaynaklı yazılımların (OSS) güvenliğini artırmaya yönelik kapsamlı bir strateji başlattı. Bu girişim, Başkan Joe Biden'ın Mayıs 2021'de siber güvenliğin önemine değinen ve geliştirilmesi için adımlar öneren idari emrine verilen kritik bir yanıttır. Bu emirden bu yana, kurumsal varlıklara bu siber güvenlik hedeflerini gerçekleştirmeleri için etkili yönergeler sağlama konusunda önemli bir hareket yaşandı.
Yeni yayınlanan yol haritası, CISA özellikle OSS güvenliğine odaklanan bu siber güvenlik önlemlerini güçlendirmeye yönelik yanıtıdır.
Ajans, OSS'nin yeniliği teşvik etme ve yazılım geliştirme süreçlerini kolaylaştırma konusundaki muazzam potansiyelini kabul ediyor ve hem federal hükümet parametrelerinin içinde hem de dışında güvenli bir şekilde uygulanmasını ve geliştirilmesini sağlamayı amaçlıyor.
Yol haritası, açık kaynaklı yazılımla ilgili iki temel duyarlılık türünü tasvir ediyor. Bunlardan biri, OSS'deki bir uzlaşmanın ardından yaygın zararlı etkilerin gözlemlendiği Log4Shell olayıyla örneklenen, yaygın olarak kullanılan OSS'deki güvenlik açıklarının potansiyel dalgalanma etkileridir. İkinci tür, OSS depolarının tedarik zincirine yönelik saldırıları kapsar; bu saldırılar, bir geliştiricinin hesabının ele geçirilmesi gibi zararlı aşağı yönlü etkilere yol açarak bir saldırganın kötü amaçlı kod yerleştirmesine olanak tanır.
Strateji, CISA açık kaynak güvenliğindeki destekleyici rolünün tanımlanması, OSS ile ilişkili kullanım ve risklerin görünürlüğünün artırılması, federal hükümete yönelik risklerin azaltılması ve açık kaynak ekosisteminin güçlendirilmesi dahil olmak üzere dört temel önceliği ortaya koyuyor.
CISA, bu adımların öngörülen açık kaynaklı yazılım perspektifine katkıda bulunacağına inanmaktadır. Ajans, sağlam, çeşitli ve dinamik bir topluluk tarafından desteklenen, yalnızca güvenli değil aynı zamanda sürdürülebilir ve dayanıklı bir OSS ekosistemi öngörmektedir.
Tedarik zinciri güvenliği kuruluşu Chainguard'ın CEO'su ve kurucu ortağı Dan Lorenc de bu düşünceyi yineliyor. CISA bu alandaki zorlukları ayrıntılı bir şekilde bölümlere ayırdığı ve bunların çözümüne öncelik verdiği için övüyor. Kendisi, CISA bu çalışmanın 'yukarı yönde' yürütülmesi gerektiğini ve çalışanlarının ilgili topluluklarla doğrudan etkileşimde bulunması gerektiğini kabul etmesini takdirle karşılıyor. Bu maddenin uygulanması konusunda bazı belirsizlikler dile getirse de iyimser görüşünü sürdürüyor.
Lorenc, hükümetin şu anda yol haritasında ele alınmayan açık kaynaklı projeleri finanse etmeyi düşünmesi gerektiğini öne sürüyor. Hükümetin bu projeleri finansal olarak destekleme kapasitesi, bellek güvenliğini artırmak, güvenlik açıklarını çözmek ve SBOM araçlarını geliştirmek gibi hedefleri büyük ölçüde kolaylaştırabilir.
Lorenc ayrıca hükümetin işbirliği modelinin pasif yönetimin ötesine geçmesi ve proaktif olarak bu önlemlerin iyileştirilmesine katkıda bulunması gerektiğini de belirtti.
AppMaster gibi platformlar, güçlü güvenlik, esneklik ve birinci sınıf kullanıcı deneyimini birleştiren açık kaynaklı yazılımlara büyük ölçüde güveniyor. Onlar da aynı endişeleri dile getiriyor ve bu yol haritasının başarıyla uygulanmasını sabırsızlıkla bekliyorlar.
