Vita huset går med OpenSSF och Linux Foundation för att säkra programvara med öppen källkod
Linux

Vita huset går med OpenSSF och Linux Foundation för att säkra programvara med öppen källkod

Att säkra leveranskedjan för programvara med öppen källkod är en enorm affär. Förra året utfärdade Biden-administrationen en verkställande order för att förbättra säkerheten i programvarans leveranskedja. Detta kom efter att Colonial Pipeline ransomware-attacken stängde ner gas- och oljeleveranser i hela sydost och SolarWinds mjukvaruförsörjningskedjasattack. Säkra mjukvara blev en högsta prioritet. Som svar tog The Open Source Security Foundation (OpenSSF) och Linux Foundation upp denna säkerhetsutmaning. Nu kräver de 150 miljoner dollar i finansiering under två år för att fixa tio stora säkerhetsproblem med öppen källkod.

De kommer att behöva varenda krona av det och mer.

Regeringen kommer inte att betala frakten för dessa förändringar. 30 miljoner dollar har redan utlovats av Amazon, Ericsson, Google, Intel, Microsoft och VMWare. Mer är redan på väg. Amazon Web Services (AWS) har redan lovat ytterligare 10 miljoner dollar.

Vid Vita husets presskonferens sa OpenSSFs generaldirektör Brian Behlendorf: “Jag vill vara tydlig: Vi är inte här för att samla in pengar från regeringen. Vi förutsåg inte att vi skulle behöva gå direkt till regeringen för att få finansiering för någon att vara framgångsrik.”

Här är de tio mål som branschen för öppen källkod har åtagit sig att uppfylla.

  1. Säkerhetsutbildning: Ge grundläggande utbildning och certifiering av säker mjukvaruutveckling till alla.

  2. Riskbedömning: Etablera en offentlig, leverantörsneutral, objektiv-mätvärdesbaserad riskbedömningsinstrumentpanel för de 10 000 (eller fler) OSS-komponenterna.

  3. Digitala signaturer: Påskynda införandet av digitala signaturer på programvaruversioner.

  4. Minnessäkerhet: Eliminera grundorsakerna till många sårbarheter genom att byta ut icke-minnessäkra språk.

  5. Incident Response: Etablera OpenSSF Open Source Security Incident Response Team, säkerhetsexperter som kan gå in för att hjälpa projekt med öppen källkod under kritiska tider när de reagerar på en sårbarhet.

  6. Bättre skanning: Påskynda upptäckten av nya sårbarheter av underhållare och experter genom avancerade säkerhetsverktyg och expertvägledning.

  7. Kodrevisioner: Genomför kodgranskning från tredje part (och eventuellt nödvändigt saneringsarbete) av upp till 200 av de mest kritiska OSS-komponenterna en gång per år.

  8. Datadelning: Koordinera branschövergripande datadelning för att förbättra forskningen som hjälper till att fastställa de mest kritiska OSS-komponenterna.

  9. Software Bill of Materials (SBOMs): Överallt Förbättra SBOM-verktyg och utbildning för att driva introduktionen.

  10. Förbättrade försörjningskedjor: Förbättra de 10 mest kritiska mjukvarubyggen med öppen källkod, pakethanterare och distributionssystem med bättre verktyg för säkerhet i försörjningskedjan och bästa praxis.

Jag kommer att gå in mer i detalj om dem i senare berättelser, men till och med vid en blick är detta ett enormt åtagande. Till exempel, C, som är kärnan i Linux-kärnan, det viktigaste av alla projekt med öppen källkod, har många sårbarheter inom sig. Medan det minnessäkra Rust-språket nu används i Linux, är det år, decennier bort, från att ersätta C i Linuxs över 27,8 miljoner rader kod. Jag tvivlar faktiskt på att vi någonsin kommer att få se all Linuxs C-kod ersatt av Rust.

Vi är redan nära att lösa några av de andra. Säkerhetsföretaget med öppen källkod Chainguard uppmanar mjukvaruindustrin att standardisera på Sigstore. Sigstore gör det möjligt för utvecklare att på ett säkert sätt signera programvaruartefakter som releasefiler, containerbilder, binärfiler, materialförteckningar. och mer. Detta Linux Foundation-projekt stöds av Google, Red Hat och Purdue University.

Sigstore har flera fantastiska funktioner. Dessa inkluderar:

  • Sigstores nyckellösa signering ger en fantastisk utvecklarupplevelse och tar bort behovet av smärtsam nyckelhantering.

  • Sigstores offentliga transparenslogg (Rekor) och API:er innebär att Kubernetes-konsumenter enkelt kan verifiera signerade artefakter.

  • Sigstores användning av standarder, såsom stöd för alla Open Container Initiative (OCI) artefakter (inklusive containrar, Helm Charts, konfigurationsfiler och policypaket) och OpenID Connect (OIDC), innebär att den integreras sömlöst med andra verktyg och tjänster.

  • Den aktiva, leverantörsneutrala Sigstore-gemenskapen med öppen källkod ger förtroende för att projektet snabbt kommer att antas och bli en de facto industristandard.

Kubernetes har faktiskt redan antagit Sigstore. Kort sagt, det gör det enkelt att anta en säker digital signatur för din kod. Sedan kan de programmerare som använder din kod vara säkra på att det verkligen är den kod de vill ha och kan lita på.

Detta är viktigt. Som Stephen Chin, säkerhetsföretaget för mjukvarukedjor JFrog VP of Developer Relations, sa: “Även om öppen källkod alltid har setts som ett frö till modernisering, har den senaste tidens ökning av attacker från mjukvaruförsörjningskedjan visat att vi behöver en hårdare process för att validera öppen- källförråd.”

Naturligtvis kommer det alltid att finnas buggar. Som Behlendorf sa, “Programvara kommer aldrig att vara perfekt. Den enda programvaran som inte har några buggar är programvara utan användare.”

Relaterade berättelser:

Posted By : Togel Online