Η ασφάλεια της εφοδιαστικής αλυσίδας λογισμικού ανοιχτού κώδικα είναι πλέον ζωτικής σημασίας και ζήτημα εθνικής ασφάλειας.
Η διασφάλιση της αλυσίδας εφοδιασμού λογισμικού ανοιχτού κώδικα είναι τεράστια υπόθεση.
Πέρυσι, η κυβέρνηση Μπάιντεν εξέδωσε εκτελεστικό διάταγμα για τη βελτίωση της ασφάλειας της αλυσίδας εφοδιασμού λογισμικού. Αυτό ήρθε μετά την επίθεση ransomware του Colonial Pipeline που έκλεισε τις παραδόσεις φυσικού αερίου και πετρελαίου σε όλη τη νοτιοανατολική περιοχή και την επίθεση στην αλυσίδα εφοδιασμού λογισμικού SolarWinds. Η ασφάλεια του λογισμικού έγινε κορυφαία προτεραιότητα. Σε απάντηση, το Ίδρυμα Ασφάλειας Ανοικτού Κώδικα (OpenSSF) και το Linux Foundation ανταποκρίθηκαν σε αυτήν την πρόκληση ασφαλείας. Τώρα, ζητούν χρηματοδότηση 150 εκατομμυρίων δολαρίων για δύο χρόνια για να διορθώσουν δέκα μεγάλα προβλήματα ασφάλειας του λογισμικού ανοιχτού κώδικα.
Η κυβέρνηση δεν θα πληρώσει το κόστος για αυτές τις αλλαγές. 30 εκατομμύρια δολάρια έχουν ήδη δεσμευτεί από τις Amazon, Ericsson, Google, Intel, Microsoft και VMWare. Ακόμη περισσότερα έχουν ήδη δρομολογηθεί. Η Amazon Web Services (AWS) έχει ήδη δεσμευτεί για επιπλέον 10 εκατομμύρια δολάρια.
Εδώ είναι οι δέκα στόχοι που έχει δεσμευτεί να επιτύχει η βιομηχανία ανοιχτού κώδικα.
- Εκπαίδευση ασφαλείας: Παροχή βασικής εκπαίδευσης και πιστοποίησης για την ανάπτυξη ασφαλούς λογισμικού προς όλους.
- Εκτίμηση κινδύνου: Δημιουργία ένός δημόσιου, ουδέτερου ως προς τον προμηθευτή, πίνακα εργαλείων αξιολόγησης κινδύνου βάσει αντικειμενικών μετρήσεων για τα κορυφαία 10.000 (ή περισσότερα) OSS components.
- Ψηφιακές υπογραφές: Επιτάχυνση της υιοθέτησης ψηφιακών υπογραφών σε όλες τις νέες εκδόσεις λογισμικού.
- Ασφάλεια μνήμης: Εξάλειψει των βασικών αιτίών πολλών ευπαθειών μέσω της αντικατάστασης γλωσσών που δεν είναι memory-safe.
- Απόκριση σε περιστατικά: Δημιουργία Ομάδας Αντιμετώπισης Συμβάντος Ασφάλειας Ανοιχτού Κώδικα OpenSSF, με ειδικούς σε θέματα ασφάλειας που μπορούν να παρέμβουν για να βοηθήσουν έργα ανοιχτού κώδικα σε κρίσιμες στιγμές με την εύρεση μιας ευπάθειας.
- Καλύτερη σάρωση: Επιτάχυνση της ανακάλυψης νέων τρωτών σημείων από συντηρητές και ειδικούς μέσω προηγμένων εργαλείων ασφαλείας και καθοδήγησης από ειδικούς.
- Έλεγχοι κώδικα: Πραγματοποίηση ελέγχου στον κώδικα 200 από τα πιο κρίσιμα components OSS μία φορά το χρόνο.
- Κοινή χρήση δεδομένων: Συντονίσμός στην κοινή χρήση δεδομένων σε ολόκληρη τη βιομηχανία για την βελτίωση της έρευνας που βοηθά στον προσδιορισμό των πιο κρίσιμων OSS components.
- Λογισμικό Bill of Materials (SBOMs): Βελτιώση των εργαλείων SBOM και της εκπαίδευσης αυτών, για την προώθηση της υιοθέτησής τους.
- Βελτιωμένες αλυσίδες εφοδιασμού: Βελτιώση των 10 πιο κρίσιμων συστημάτων κατασκευής λογισμικού ανοιχτού κώδικα, package managers και distribution systems με καλύτερα εργαλεία ασφάλειας.
