Seguridad

Los líderes de código abierto presionan a WH para que tome medidas de seguridad

Una iniciativa única en su tipo para abordar ampliamente la seguridad de la cadena de suministro de software y código abierto está esperando el apoyo de la Casa Blanca.

Fundación Linux El jueves, la Open Source Software Security Foundation (OpenSSF) convocó a más de 90 ejecutivos de 37 empresas y líderes gubernamentales de NSC, ONCD, CISA, NIST, DOE y OMB sobre las acciones clave necesarias para mejorar la resiliencia Consenso y la seguridad del software de código abierto .

Algunas de las organizaciones participantes se han comprometido colectivamente a proporcionar los primeros fondos para la implementación del programa. Las empresas, incluidas Amazon, Ericsson, Google, Intel, Microsoft y VMWare, han prometido más de $30 millones en fondos. A medida que el programa se desarrolle más, se identificará financiación adicional y el trabajo comenzará una vez que se acuerden las fuentes de financiación individuales.

La segunda Cumbre de Seguridad de Software de Código Abierto es un seguimiento de la primera cumbre en enero, dirigida por el Consejo de Seguridad Nacional de la Casa Blanca. La conferencia, convocada por The Linux Foundation y OpenSSF, coincide con el primer aniversario de la orden ejecutiva del presidente Biden para mejorar la seguridad cibernética de la nación.

Los líderes de código abierto pidieron a la industria del software que estandarice el software de código abierto como parte de la segunda Cumbre de Seguridad de Código Abierto de la Casa Blanca. almacenamiento de señal El desarrollador implementa y respalda un plan de 10 puntos para mejorar la resiliencia de ciberseguridad colectiva del código abierto y mejorar la confianza en el software en sí, dijo el CEO y cofundador Dan Lorenc. protector de cadenaco-creador de Sigstore.

«En el primer aniversario de la orden ejecutiva del presidente Biden, hoy estamos aquí para responder con un plan de acción porque el código abierto es una parte esencial de nuestra seguridad nacional y la base de miles de millones de dólares invertidos en innovación de software en la actualidad», Jim Zemlin , director ejecutivo de la Fundación Linux, anunció en la conferencia de prensa de la organización el jueves.

rango de soporte de empuje

La mayoría de los principales paquetes de software contienen elementos de software de código abierto, incluido el código utilizado por la comunidad de seguridad nacional y la infraestructura crítica. El software de código abierto respalda miles de millones de dólares en innovación, pero también presenta desafíos únicos en la gestión de la ciberseguridad en toda la cadena de suministro de software.

«Este plan representa nuestra voz unificada y nuestro llamado común a la acción. La tarea más importante que tenemos ante nosotros es el liderazgo», dijo Zemlin. «Esta es la primera vez que veo un plan y una industria dispuesta a elaborar un plan que funcione».

El segundo plan de la cumbre describe alrededor de $ 150 millones en fondos durante dos años para acelerar las soluciones examinadas críticamente a los 10 problemas principales identificados por el plan. Estas 10 inversiones incluyen pasos de acción concretos para mejoras más inmediatas y una base sólida para un futuro más seguro.

«Lo que hemos hecho aquí es reunir un conjunto de ideas y principios sobre lo que está pasando y lo que podemos hacer para solucionarlo. El plan que hemos desarrollado representa 10 banderas en el suelo como punto de partida. Aspiramos Obtener más información y compromiso nos llevó de la planificación a la acción», dijo Brian Behlendorf, director ejecutivo de Open Source Security Foundation.

Segunda cumbre anual de seguridad de software de código abierto, Washington, DC, 12 de mayo de 2022. [L/R] Sarah Novotny, directora de código abierto, Microsoft; Jamie Thomas, director de seguridad empresarial, IBM; Brian Behlendorf, director ejecutivo, Open Source Security Foundation; Jim Zemlin, director ejecutivo, Linux Foundation.


Destacar plan

El plan propuesto se basa en tres objetivos principales:

  • Garantizar la producción segura de código abierto
  • Descubrimiento y corrección de errores mejorados
  • Tiempo de respuesta mejorado del parche del ecosistema

Un plan completo contiene elementos para lograr estos objetivos. Estos incluyen educación en seguridad que proporciona una base para la educación y certificación de desarrollo de software. Otro elemento es el establecimiento de un panel de control de evaluación de riesgos basado en métricas objetivo común e independiente del proveedor para los 10 000 (o más) componentes principales del OSS.

El plan recomienda la adopción de firmas digitales en las versiones de software y el establecimiento de un equipo de respuesta a incidentes de seguridad de fuente abierta OpenSSF para ayudar a los proyectos de fuente abierta en momentos críticos para responder a las vulnerabilidades.

Otro detalle del plan se centra en una mejor exploración de códigos para acelerar el descubrimiento de nuevas vulnerabilidades por parte de los mantenedores y expertos a través de herramientas de seguridad avanzadas y orientación de expertos.

Las auditorías de código realizadas por revisiones de código de terceros y cualquier esfuerzo de remediación necesario instrumentarán hasta 200 de los componentes de OSS más críticos anualmente.

El intercambio de datos coordinado en toda la industria mejorará la investigación que ayuda a identificar los componentes de OSS más críticos. Proporcionar listas de materiales de software (SBOM) en todas partes mejorará las herramientas y la capacitación para impulsar la adopción, y brindará mejores herramientas de seguridad de la cadena de suministro y mejores prácticas para sistemas de construcción, administradores de paquetes y sistemas de distribución.

factor de almacén

Chainguard, el co-creador del repositorio Sigstore, está comprometiendo recursos financieros para la red e infraestructura pública propuesta por OpenSSF, y trabajará con pares de la industria para profundizar los esfuerzos de interoperabilidad para garantizar que toda la cadena de suministro de software y cada parte del mundo. La influencia de Sigstore se puede sentir en cada esquina. Ecosistema de software. El compromiso incluye apoyar a Sigstore con al menos $ 1 millón por año y comprometerse a ejecutarlo en sus propios nodos.


Fue diseñado y construido por mantenedores para mantenedores y ha sido adoptado por millones de desarrolladores en todo el mundo. Lorenc dijo que ahora es el momento de formalizar su papel como el estándar de facto para las firmas digitales en el desarrollo de software.

«Gracias a nuestro trabajo en el marco SLSA y SBOM, sabemos lo importante que es la interoperabilidad para aumentar la adopción de estas herramientas críticas. La interoperabilidad es clave para proteger el software en toda la cadena de suministro», dijo.

soporte relacionado

Google anunció el jueves que está formando un «equipo de mantenimiento de código abierto» encargado de mejorar la seguridad de los proyectos clave de código abierto.

Google también lanzó Google Cloud Datasets y el proyecto Open Source Insights para ayudar a los desarrolladores a comprender mejor la estructura y la seguridad del software que utilizan.

«Este conjunto de datos brinda a los desarrolladores, mantenedores y consumidores de software de código abierto acceso a información crítica de la cadena de suministro de software», dijo Google.

«Los riesgos de seguridad seguirán afectando a todas las empresas de software y proyectos de código abierto, y solo se puede lograr un progreso real con un compromiso de toda la industria para involucrar a las comunidades globales de desarrolladores, gobiernos y empresas. Google seguirá desempeñando su papel en hacer una Impacto», dijo el vicepresidente de Google Cloud Infrastructure y Google Fellow Eric Brewer en la cumbre de seguridad.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba