Белый дом присоединяется к OpenSSF и Linux Foundation в обеспечении безопасности программного обеспечения с открытым исходным кодом

Безопасность цепочки поставок программного обеспечения с открытым исходным кодом в настоящее время является жизненно важным вопросом национальной безопасности.

Обеспечение безопасности цепочки поставок программного обеспечения с открытым исходным кодом — это огромная задача. В прошлом году администрация Байдена издала указ об улучшении безопасности цепочки поставок программного обеспечения. Это произошло после того, как атака программы-вымогателя Colonial Pipeline остановила поставки газа и нефти по всему юго-востоку, а также атака на цепочку поставок программного обеспечения SolarWinds. Защита программного обеспечения стала главным приоритетом. В ответ на эту проблему безопасности взялись Фонд безопасности открытого исходного кода (OpenSSF) и Linux Foundation. Теперь они требуют финансирования в размере 150 миллионов долларов в течение двух лет для устранения десяти основных проблем безопасности с открытым исходным кодом.

Им понадобится каждая копейка и даже больше.

Правительство не будет платить за эти изменения. 30 миллионов долларов уже пообещали Amazon, Ericsson, Google, Intel, Microsoft и VMWare. Еще больше уже в пути. Amazon Web Services (AWS) уже пообещала выделить дополнительно 10 миллионов долларов.

На пресс-конференции в Белом доме генеральный менеджер OpenSSF Брайан Белендорф сказал: «Я хочу внести ясность: мы здесь не для того, чтобы собирать средства от правительства. успешный."

Вот десять целей, которых стремится достичь индустрия открытого исходного кода.

1. Обучение безопасности. Предоставляйте всем базовое обучение и сертификацию безопасного программного обеспечения.

2. Оценка рисков. Создайте общедоступную, нейтральную к поставщикам, основанную на объективных показателях информационную панель оценки рисков для 10 000 (или более) основных компонентов OSS.

3. Цифровые подписи. Ускорьте внедрение цифровых подписей в выпусках программного обеспечения.

4. Безопасность памяти. Устраните коренные причины многих уязвимостей путем замены языков, небезопасных для памяти.

5. Реагирование на инциденты: создайте группу реагирования на инциденты безопасности с открытым исходным кодом OpenSSF, экспертов по безопасности, которые могут вмешаться, чтобы помочь проектам с открытым исходным кодом в критические моменты при реагировании на уязвимости.

6. Улучшенное сканирование. Ускорьте обнаружение новых уязвимостей специалистами по обслуживанию и экспертами с помощью передовых инструментов безопасности и рекомендаций экспертов.

7. Аудит кода: проводите сторонние проверки кода (и любые необходимые работы по исправлению) до 200 наиболее важных компонентов OSS один раз в год.

8. Обмен данными: координируйте обмен данными в масштабах всей отрасли для улучшения исследований, которые помогают определить наиболее важные компоненты OSS.

9. Спецификации программного обеспечения (SBOM): повсеместно Улучшайте инструменты и обучение SBOM для стимулирования внедрения.

10. Улучшенные цепочки поставок. Улучшите 10 наиболее важных систем сборки программного обеспечения с открытым исходным кодом, менеджеров пакетов и систем распространения с помощью более эффективных инструментов и передовых методов обеспечения безопасности цепочек поставок.

Я расскажу об этом более подробно в следующих статьях, но даже на первый взгляд это масштабная задача. Например, язык C, который является ядром ядра Linux, самого важного из всех проектов с открытым исходным кодом, имеет множество уязвимостей. Несмотря на то, что безопасный для памяти язык Rust сейчас используется в Linux, до замены C в Linux, насчитывающем более 27,8 миллионов строк кода, остаются годы, десятилетия. Действительно, я сомневаюсь, что мы когда-нибудь увидим замену всего кода C Linux на Rust.

Мы уже близки к решению некоторых других. Компания Chainguard, занимающаяся безопасностью с открытым исходным кодом, призывает индустрию программного обеспечения стандартизировать Sigstore. Sigstore позволяет разработчикам безопасно подписывать программные артефакты, такие как файлы релизов, образы контейнеров, двоичные файлы, спецификации материалов. и более. Этот проект Linux Foundation поддерживается Google, Red Hat и Университетом Пердью.

Sigstore имеет несколько замечательных функций. К ним относятся:

• Подписание без ключа в Sigstore дает отличные возможности для разработчиков и устраняет необходимость в болезненном управлении ключами.

• Публичный журнал прозрачности Sigstore (Rekor) и API-интерфейсы означают, что потребители Kubernetes могут легко проверять подписанные артефакты.

• Использование Sigstore стандартов, таких как поддержка любого артефакта Open Container Initiative (OCI) (включая контейнеры, Helm Charts, файлы конфигурации и пакеты политик) и OpenID Connect (OIDC), означает, что он легко интегрируется с другими инструментами и сервисами.

• Активное, независимое от поставщиков сообщество Sigstore, использующее открытый исходный код, вселяет уверенность в том, что проект будет быстро принят и станет де-факто отраслевым стандартом.

Действительно, Kubernetes уже внедрил Sigstore. Короче говоря, это упрощает установку безопасной цифровой подписи для вашего кода. Тогда программисты, использующие ваш код, смогут быть уверены, что это действительно тот код, который им нужен и которому можно доверять.

Это очень важно. Как сказал Стивен Чин, вице-президент по связям с разработчиками компании JFrog, занимающейся безопасностью цепочки программного обеспечения, «хотя открытый исходный код всегда рассматривался как семя модернизации, недавний рост атак на цепочку поставок программного обеспечения продемонстрировал, что нам нужен более жесткий процесс проверки открытости. исходные репозитории».

Конечно, всегда будут ошибки. Как сказал Белендорф: «Программное обеспечение никогда не будет идеальным. Единственное программное обеспечение, в котором нет ошибок, — это программное обеспечение без пользователей».