Търсене
Close this search box.

CISA иска по-тесни връзки с разработчиците на софтуер с отворен код, за да няма следващ Log4Shell

CISA сигнализира, че иска да насърчи по-тясното сътрудничество между индустрията, регулаторите и общността на отворения код.

Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) обяви нови усилия за осигуряване на сигурността на екосистемата с отворен код, включително по-тясно сътрудничество между регулаторните органи и общността.

Обещанието на агенцията за киберпространството бе дадено по време на двудневна среща на високо равнище по въпросите на сигурността на софтуера с отворен код (OSS), като директорът Джен Истърли подчерта неразделната роля, която OSS играе в основата на критичните услуги в САЩ.

По време на откриването на срещата на високо равнище за сигурността на софтуера с отворен код Истърли заяви, че през последните години организацията е поставила по-голям акцент върху сигурността на софтуера с отворен код след големи инциденти със сигурността като Log4Shell.

„Ние в CISA сме особено фокусирани върху сигурността на OSS, защото, както всички тук знаят, по-голямата част от нашата критична инфраструктура разчита на софтуер с отворен код“, каза тя.

„И макар че уязвимостта Log4Shell може би беше голям сигнал за събуждане за много хора в правителството, тя показа това, което тази общност знае и за което предупреждава от години: поради широкото си разпространение експлоатацията на уязвимостите на OSS става по-влиятелна.“

На 7 март CISA обяви редица ключови действия, които предприема, насочени към осигуряване на сигурността на веригата за доставка на софтуер, много от които включват предоставяне на повече практическа подкрепа за разработчиците на софтуер с отворен код, които искат да защитят своите проекти.

По-специално, агенцията ще стартира проект за подобряване на сътрудничеството и обмена на информация между разработчиците на софтуер с отворен код и операторите на инфраструктура.

Агенцията също така ще работи в тясно сътрудничество с хранилищата на пакети, за да насърчи приемането на Принципите за сигурност на хранилищата на пакети.

Разработената от CISA и работната група за осигуряване на сигурността на софтуерните хранилища към Фондацията за сигурност на отворения код (OpenSSF) рамка очертава доброволни нива на зрялост на сигурността на пакетните хранилища.

Пет от най-популярните оператори на хранилища за пакети предприемат стъпки, за да се присъединят към рамката, включително Rust Foundation, Python Software Foundation, Packagist и Composer, Maven Central и npm.

Ходът на CISA е положителна стъпка за сигурността на отворения код

Съобщението на CISA беше приветствано от заинтересованите страни в индустрията като положителна промяна към по- съвместен подход между разработчиците на софтуер с отворен код и агенциите за сигурност.

Майк Макгуайър, старши мениджър софтуерни решения в Synopsys Software Integrity Group, заяви, че в миналото поддържащите софтуер с отворен код са били доста старателни в поддържането на сигурността и актуалността на своя код, но инициативата, стартирана от CISA, би трябвало да помогне за по-нататъшното подобряване на нещата.

„Усилията на общността с отворен код, съгласувани с CISA в рамките на тази инициатива, са показателни за една по-широка истина, а именно, че поддръжниците и управителите на проекти с отворен код като цяло вършат ефективна работа по поддържане на сигурността, актуалността и приемливото качество на своя код“, обясни той.

„Няма съмнение, че  заплахите се възползват от присъщото доверие, което имаме в отворения код, така че тези усилия би трябвало да допринесат за предотвратяване на атаки по веригата на доставки, които започват на ниво разработване на проекти с отворен код.“

Макгуайър предупреди, че все пак трябва да се направи повече по отношение на предприятията, за да се гарантира, че те управляват отговорно активите с отворен код.

„Без значение какво ще се направи заради тези упражнения, нито едно търговско приложение няма да стане по-сигурно, ако организациите за разработка не инвестират повече в управлението на отворения код, който използват.“

Макгуайър обясни, че най-голямата заплаха за сигурността на отворения код са лошите практики за поправяне от страна на организациите, които използват код на трети страни.

„Когато над 70 % от комерсиалните приложения имат високорискови уязвимости с отворен код, а средната възраст на всички уязвимости е 2,8 години, е ясно, че най-голямата тревога не е свързана с общността с отворен код, а с организациите, които не успяват да бъдат в крак с различната работа по коригиране на сигурността, която общността извършва.“

 

Източник: itpro.co.uk

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
Бъдете социални
Още по темата
05/04/2024

Как и защо да правите резер...

Защитата на данните продължава да бъде...
29/03/2024

Надпреварата за нулеви дни ...

Според Google напредналите противници все повече...
27/03/2024

Какво представлява защитата...

Киберпрестъпниците все по-често използват нови стратегии...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!