Cybersecurity & Infrastructure Security Agency (CISA) gần đây đã giới thiệu một chiến lược toàn diện để tăng cường bảo mật cho phần mềm nguồn mở (OSS). Sáng kiến này là phản ứng quan trọng đối với sắc lệnh hành pháp của Tổng thống Joe Biden vào tháng 5 năm 2021, trong đó đề cập đến tầm quan trọng của an ninh mạng và các bước đề xuất để tăng cường nó. Kể từ lệnh này, đã có sự chuyển biến đáng kể trong việc cung cấp các hướng dẫn hiệu quả cho các tổ chức doanh nghiệp để thực hiện các mục tiêu an ninh mạng này.
Lộ trình mới được công bố là câu trả lời của CISA nhằm củng cố các biện pháp an ninh mạng này, đặc biệt tập trung vào an toàn OSS.
Cơ quan này thừa nhận tiềm năng to lớn của PMNM trong việc thúc đẩy đổi mới và tạo điều kiện thuận lợi cho các quá trình phát triển phần mềm và nó tìm cách tạo điều kiện cho việc triển khai và phát triển an toàn của nó, cả trong và ngoài các thông số của chính phủ liên bang.
Lộ trình mô tả hai loại nhạy cảm chính liên quan đến phần mềm nguồn mở. Một là tác động lan tỏa tiềm ẩn của các lỗ hổng trong OSS được sử dụng rộng rãi, được minh họa bằng sự cố Log4Shell, trong đó các tác động bất lợi lan rộng đã được quan sát thấy sau một sự xâm phạm trong OSS. Loại thứ hai bao gồm các cuộc tấn công vào chuỗi cung ứng kho lưu trữ OSS, có thể dẫn đến các tác động có hại như tài khoản của nhà phát triển bị xâm phạm, tạo điều kiện cho kẻ tấn công nhúng mã độc.
Chiến lược đặt ra bốn ưu tiên chính, bao gồm xác định vai trò hỗ trợ của CISA trong bảo mật nguồn mở, nâng cao khả năng hiển thị về việc sử dụng và các rủi ro liên quan đến PMNM, giảm thiểu rủi ro cho chính phủ liên bang và củng cố hệ sinh thái nguồn mở.
CISA tin rằng các bước này sẽ đóng góp vào quan điểm dự kiến của họ về phần mềm nguồn mở. Cơ quan này dự tính một hệ sinh thái OSS không chỉ an toàn mà còn bền vững và linh hoạt, được củng cố bởi một cộng đồng mạnh mẽ, đa dạng và năng động.
Dan Lorenc, Giám đốc điều hành và đồng sáng lập của doanh nghiệp bảo mật chuỗi cung ứng, Chainguard, cũng đồng tình với quan điểm này. Ông khen ngợi CISA vì đã phân chia chi tiết các thách thức trong lĩnh vực này và ưu tiên giải quyết chúng. Ông đánh giá cao sự công nhận của CISA rằng công việc này cần phải diễn ra 'ngược dòng' và nhân viên của CISA nên tham gia trực tiếp với các cộng đồng liên quan. Mặc dù bày tỏ sự không chắc chắn về việc thực hiện quan điểm này nhưng ông vẫn giữ quan điểm lạc quan.
Lorenc gợi ý rằng chính phủ nên xem xét cấp vốn cho các dự án nguồn mở - điều hiện chưa được đề cập trong lộ trình. Khả năng của chính phủ trong việc hỗ trợ tài chính cho các dự án này có thể hỗ trợ rất nhiều cho các mục tiêu như tăng cường an toàn bộ nhớ, giải quyết các lỗ hổng và cải thiện công cụ SBOM.
Lorenc cũng đề cập rằng mô hình hợp tác của chính phủ nên vượt ra ngoài phạm vi quản lý thụ động và đóng góp tích cực vào việc cải thiện các biện pháp này.
Các nền tảng, chẳng hạn như AppMaster, phụ thuộc rất nhiều vào phần mềm nguồn mở, kết hợp tính bảo mật mạnh mẽ, tính linh hoạt và trải nghiệm người dùng hàng đầu. Họ lặp lại những mối quan tâm tương tự và mong muốn thực hiện thành công lộ trình này.