Новый проект OpenSSF, возможно, наконец-то обеспечивает безопасность


Комментарий: В течение многих лет мы пытались решить проблему безопасности на уровне компании или организации. Новый проект «Альфа-Омега», похоже, использует общеотраслевой подход, и это многообещающе.

Изображение: OpenSSF

Безопасность всегда была непривлекательной инвестицией, которая имеет больше смысла задним числом, чем при планировании. В последнее время, когда нарушения безопасности стали повседневной нормой, а не случайным исключением, компании и проекты с открытым исходным кодом начали уделять безопасности приоритет, хотя, возможно, ее все еще не хватает в наших процессах разработки программного обеспечения.

Проблема с этим подходом в том, что он остается атомарным, фрагментарным. Как отмечалось в недавней статье ZDNet, «состояние безопасности в отрасли крайне неравномерно: у некоторых ведущих поставщиков довольно хорошая безопасность, но у подавляющего большинства… отсутствуют базовые инвестиции в безопасность». Это упускает суть. Безопасность — это не то, что одна компания или проект может сделать самостоятельно. Это по своей сути дело сообщества.

ПОСМОТРЕТЬ: взлом пароля: почему поп-культура и пароли несовместимы (бесплатный PDF) (TechRepublic)

Вот почему я нахожу некоторые недавние новости от Linux Basis (LF) воодушевляющими… именно потому, что они не о Linux Basis. Или не исключительно, т.е.

Новости за новостями

Были объявлены две вещи. Во-первых, Open Supply Safety Basis (OpenSSF), который работает в рамках LF, добавил в свой список еще 20 членов. Чем занимаются эти участники? Якобы они «помогают выявлять и устранять уязвимости безопасности в программном обеспечении с открытым исходным кодом и разрабатывать улучшенные инструменты, обучение, исследования, лучшие практики и методы раскрытия уязвимостей». На практике многие из этих компаний просто хотят продемонстрировать свою заботу о безопасности, но и от таких организаций исходит настоящая польза.

Например, я бы предположил, что, хотя сейчас в OpenSSF насчитывается 60 членов, вероятная реальность такова, что несколько ключевых членов (в данном случае Google и Microsoft) назначат разработчиков для тесного сотрудничества с другими членами OpenSSF для повышения безопасности в определенных областях. проекты с открытым исходным кодом, чтобы избежать таких сценариев, как уязвимость Log4j.

Другими словами, некоторые организации могут позволить себе инвестировать в безопасность и имеют для этого экспертные ресурсы. Всем выгодно, когда они открыто делятся этой информацией на форуме сообщества.

Второй аспект анонса LF, возможно, даже более интересен. OpenSSF также анонсировала проект Alpha-Omega Mission, целью которого является выявление всех наиболее важных в мире фундаментальных библиотек и пакетов программного обеспечения с открытым исходным кодом, их аудит и последующая поддержка по мере необходимости. Из выпуска:

«Проект повышает глобальную безопасность цепочки поставок OSS, работая с сопровождающими проекта над систематическим поиском новых, еще не обнаруженных уязвимостей в открытом исходном коде и их исправлением. «Альфа» будет работать с сопровождающими наиболее важных проектов с открытым исходным кодом, чтобы помочь им выявлять и устранять уязвимости безопасности и улучшать их состояние безопасности. «Омега» выявит не менее 10 000 широко развернутых проектов OSS, в которых она сможет применять автоматический анализ безопасности, оценку и руководство по исправлению для своих сообществ разработчиков открытого исходного кода».

Эта перепись проектов с открытым исходным кодом, финансируемая за счет первоначальных 5 миллионов долларов США от Microsoft и Google и поддерживаемая Гарвардским университетом и LF, помогает компаниям составлять список материалов для своего программного обеспечения в соответствии с исполнительным указом США. Как отмечают авторы переписи, составленные ими списки «представляют нашу наилучшую оценку того, какие СОПО [free and open source software] пакеты наиболее широко используются различными приложениями, учитывая ограничения по времени и обширные, но не исчерпывающие данные, которые мы собрали».

ВИДЕТЬ: Google Chrome: советы по безопасности и пользовательскому интерфейсу, которые вам нужно знать (ТехРеспублика Премиум)

Это впечатляющее начало столь необходимой работы, и оно не сосредоточено на программных проектах какой-либо конкретной организации.

И это настоящая новость. Не исполнительный лист. Не участие Google/Microsoft. Даже LF не занимается межотраслевыми инициативами. Нет, реальная новость заключается в том, что безопасность важнее любой торговой организации, такой как LF. Те 10 000 проектов с открытым исходным кодом, которые LF помогает каталогизировать? Большинство из них не находятся под контролем LF. Или Google. Или Microsoft. Или [insert name of any organization].

Безопасность затрагивает всех, но мы пытались решать ее постепенно. Из сообщения, написанного руководителем проекта Alpha-Omega и профессором Гарварда Фрэнком Нэглом, необходимо проделать большую работу для улучшения состояния безопасности программного обеспечения с открытым исходным кодом в проектах. Например, в проектах с открытым исходным кодом отсутствует стандартная схема именования, что приводит к путанице: «Не существует централизованного органа для координации имен компонентов FOSS, поэтому может существовать несколько компонентов с одинаковыми именами, но не являющихся одним и тем же компонентом». Мы показали, что разработчики с открытым исходным кодом могут быстро устранять проблемы, когда они появляются (возможно, быстрее, чем кто-либо другой), но можем ли мы объединиться, чтобы структурировать проекты таким образом, чтобы можно было избежать некоторых ненужных проблем с безопасностью?

Альфа-Омега — отличное начало для решения таких проблем в масштабах всей отрасли, а не по частям. После Heartbleed у нас были схожие амбиции по решению проблем безопасности. Будем надеяться, что на этот раз все действительно по-другому… и по-человечески.

Раскрытие информации: я работаю в MongoDB, но мнения, выраженные здесь, принадлежат мне..

https://cyberxhack.org/