Первый в своем роде план по широкому обеспечению безопасности цепочки поставок с открытым исходным кодом и программного обеспечения ждет поддержки Белого дома.
Фонд Linux и Фонд безопасности программного обеспечения с открытым исходным кодом (OpenSSF), объединивший более 90 руководителей из 37 компаний и государственных деятелей из NSC, ONCD, СНГАNIST, DOE и OMB в четверг, чтобы достичь консенсуса по ключевым действиям, которые необходимо предпринять для повышения отказоустойчивости и безопасности программного обеспечения с открытым исходным кодом.
Подгруппа участвующих организаций коллективно обязалась выделить первоначальный транш финансирования для реализации плана. Этими компаниями являются Amazon, Ericsson, Google, Intel, Microsoft и VMWare, обещающие более 30 миллионов долларов. По мере дальнейшего развития плана будет определяться дополнительное финансирование, и работа начнется по мере согласования отдельных потоков.
Второй саммит по безопасности программного обеспечения с открытым исходным кодом является продолжением первого саммита, проведенного в январе под руководством Совета национальной безопасности Белого дома. Эта встреча, организованная Linux Foundation и OpenSSF, была приурочена к годовщине принятия указа президента Байдена об улучшении национальной кибербезопасности.
В рамках этого второго саммита Белого дома по безопасности открытого исходного кода лидеры открытого исходного кода призвали индустрию программного обеспечения стандартизировать Сигстор инструменты разработчика и поддержите план из 10 пунктов по повышению коллективной устойчивости к кибербезопасности с открытым исходным кодом и повышению доверия к самому программному обеспечению, по словам Дэна Лоренца, генерального директора и соучредителя Защита цеписоучредитель Sigstore.
«В годовщину указа президента Байдена сегодня мы собрались здесь, чтобы отреагировать планом, который является действенным, потому что открытый исходный код является важнейшим компонентом нашей национальной безопасности и имеет основополагающее значение для инвестиций миллиардов долларов в инновации в области программного обеспечения. сегодня», — заявил Джим Землин, исполнительный директор Linux Foundation, во время пресс-конференции своей организации в четверг.
Проталкивание конверта поддержки
Большинство основных пакетов программного обеспечения содержат элементы программного обеспечения с открытым исходным кодом, включая код, используемый сообществом национальной безопасности и критической инфраструктурой. Программное обеспечение с открытым исходным кодом поддерживает инновации на миллиарды долларов, но также сопряжено с уникальными проблемами для управления кибербезопасностью в цепочках поставок программного обеспечения.
«Этот план представляет собой наш единый голос и наш общий призыв к действию. Перед нами стоит самая важная задача — лидерство», — сказал Землян. «Это первый раз, когда я вижу план и желание отрасли разработать план, который будет работать».
План Summit II предусматривает финансирование в размере около 150 миллионов долларов в течение двух лет для быстрого продвижения хорошо проверенных решений 10 основных проблем, определенных в плане. 10 потоков инвестиций включают в себя конкретные шаги как для немедленных улучшений, так и для создания прочного фундамента для более безопасного будущего.
«То, что мы делаем здесь вместе, — это объединение набора идей и принципов того, что там нарушено, и того, что мы можем сделать, чтобы это исправить. План, который мы составили, представляет собой 10 флажков в земле в качестве основы для начала работы. Мы с нетерпением ждем дальнейших предложений и обязательств, которые переведут нас от плана к действию», — сказал Брайан Белендорф, исполнительный директор Open Source Security Foundation.
Второй саммит по безопасности программного обеспечения с открытым исходным кодом в Вашингтоне, округ Колумбия, 12 мая 2022 г. [L/R] Сара Новотны, руководитель отдела открытого исходного кода в Microsoft; Джейми Томас, руководитель отдела корпоративной безопасности IBM; Брайан Белендорф, исполнительный директор Open Source Security Foundation; Джим Землин, исполнительный директор The Linux Foundation.
Выделение плана
Предлагаемый план основан на трех основных целях:
- Обеспечение безопасности производства с открытым исходным кодом
- Улучшение обнаружения и устранения уязвимостей
- Сокращение времени отклика на исправление экосистемы
Полный план содержит элементы для достижения этих целей. Они включают в себя обучение безопасности, которое обеспечивает основу для обучения и сертификации разработчиков программного обеспечения. Еще одним элементом является создание общедоступной, независимой от поставщика панели оценки рисков на основе объективных показателей для 10 000 (или более) основных компонентов OSS.
План предлагает внедрение цифровых подписей в выпусках программного обеспечения и создание группы реагирования на инциденты безопасности с открытым исходным кодом OpenSSF для оказания помощи проектам с открытым исходным кодом в критические моменты при реагировании на уязвимость.
Еще одна деталь плана направлена на улучшение сканирования кода для ускорения обнаружения новых уязвимостей сопровождающими и экспертами с помощью передовых инструментов безопасности и рекомендаций экспертов.
Аудит кода, проводимый сторонними экспертами, и любые необходимые работы по исправлению выявляют до 200 наиболее важных компонентов OSS один раз в год.
Скоординированный обмен данными в масштабах всей отрасли улучшит исследования, помогающие определить наиболее важные компоненты OSS. Повсеместное предоставление спецификаций программного обеспечения (SBOM) улучшит инструменты и обучение для стимулирования внедрения и обеспечит системы сборки, менеджеры пакетов и системы распространения лучшими инструментами безопасности цепочки поставок и лучшими практиками.
Складской фактор
Chainguard, соавтор репозитория Sigstore, выделяет финансовые ресурсы на общедоступную инфраструктуру и сеть, предложенные OpenSSF, и будет сотрудничать с коллегами по отрасли, чтобы углубить работу над функциональной совместимостью, чтобы влияние Sigstore ощущалось во всей цепочке поставок программного обеспечения и в каждом уголке. программная экосистема. Это обязательство включает в себя как минимум 1 миллион долларов в год на поддержку Sigstore и обязательство запустить его на собственном узле.
Разработанный и созданный сопровождающими для сопровождающих, он уже получил широкое распространение среди миллионов разработчиков по всему миру. По словам Лоренца, настало время формализовать его роль стандарта де-факто для цифровых подписей в разработке программного обеспечения.
«Мы знаем о важности функциональной совместимости для расширения внедрения этих важнейших инструментов благодаря нашей работе над SLSA Framework и SBOM. Функциональная совместимость — это ключевой элемент защиты программного обеспечения на протяжении всей цепочки поставок», — сказал он.
Связанная поддержка
Google в четверг объявила, что создает «команду по обслуживанию открытого исходного кода», которой поручено повысить безопасность критически важных проектов с открытым исходным кодом.
Google также представила проекты Google Cloud Dataset и Open-Source Insights, которые помогут разработчикам лучше понять структуру и безопасность используемого ими программного обеспечения.
«Этот набор данных обеспечивает доступ к критически важной информации о цепочке поставок программного обеспечения для разработчиков, специалистов по сопровождению и потребителей программного обеспечения с открытым исходным кодом», — говорится в сообщении Google.
«Риски безопасности будут по-прежнему охватывать все компании-разработчики программного обеспечения и проекты с открытым исходным кодом, и только общеотраслевое обязательство с участием глобального сообщества разработчиков, правительств и бизнеса может добиться реального прогресса. Google будет продолжать играть свою роль, чтобы оказывать влияние», — сказал Эрик Брюэр, вице-президент по инфраструктуре Google Cloud и научный сотрудник Google, на конференции по безопасности.
