CISA сигнализира, че иска да насърчи по-тясното сътрудничество между индустрията, регулаторите и общността на отворения код.
Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) обяви нови усилия за осигуряване на сигурността на екосистемата с отворен код, включително по-тясно сътрудничество между регулаторните органи и общността.
Обещанието на агенцията за киберпространството бе дадено по време на двудневна среща на високо равнище по въпросите на сигурността на софтуера с отворен код (OSS), като директорът Джен Истърли подчерта неразделната роля, която OSS играе в основата на критичните услуги в САЩ.
По време на откриването на срещата на високо равнище за сигурността на софтуера с отворен код Истърли заяви, че през последните години организацията е поставила по-голям акцент върху сигурността на софтуера с отворен код след големи инциденти със сигурността като Log4Shell.
„Ние в CISA сме особено фокусирани върху сигурността на OSS, защото, както всички тук знаят, по-голямата част от нашата критична инфраструктура разчита на софтуер с отворен код“, каза тя.
„И макар че уязвимостта Log4Shell може би беше голям сигнал за събуждане за много хора в правителството, тя показа това, което тази общност знае и за което предупреждава от години: поради широкото си разпространение експлоатацията на уязвимостите на OSS става по-влиятелна.“
На 7 март CISA обяви редица ключови действия, които предприема, насочени към осигуряване на сигурността на веригата за доставка на софтуер, много от които включват предоставяне на повече практическа подкрепа за разработчиците на софтуер с отворен код, които искат да защитят своите проекти.
По-специално, агенцията ще стартира проект за подобряване на сътрудничеството и обмена на информация между разработчиците на софтуер с отворен код и операторите на инфраструктура.
Агенцията също така ще работи в тясно сътрудничество с хранилищата на пакети, за да насърчи приемането на Принципите за сигурност на хранилищата на пакети.
Разработената от CISA и работната група за осигуряване на сигурността на софтуерните хранилища към Фондацията за сигурност на отворения код (OpenSSF) рамка очертава доброволни нива на зрялост на сигурността на пакетните хранилища.
Пет от най-популярните оператори на хранилища за пакети предприемат стъпки, за да се присъединят към рамката, включително Rust Foundation, Python Software Foundation, Packagist и Composer, Maven Central и npm.
Съобщението на CISA беше приветствано от заинтересованите страни в индустрията като положителна промяна към по- съвместен подход между разработчиците на софтуер с отворен код и агенциите за сигурност.
Майк Макгуайър, старши мениджър софтуерни решения в Synopsys Software Integrity Group, заяви, че в миналото поддържащите софтуер с отворен код са били доста старателни в поддържането на сигурността и актуалността на своя код, но инициативата, стартирана от CISA, би трябвало да помогне за по-нататъшното подобряване на нещата.
„Усилията на общността с отворен код, съгласувани с CISA в рамките на тази инициатива, са показателни за една по-широка истина, а именно, че поддръжниците и управителите на проекти с отворен код като цяло вършат ефективна работа по поддържане на сигурността, актуалността и приемливото качество на своя код“, обясни той.
„Няма съмнение, че заплахите се възползват от присъщото доверие, което имаме в отворения код, така че тези усилия би трябвало да допринесат за предотвратяване на атаки по веригата на доставки, които започват на ниво разработване на проекти с отворен код.“
Макгуайър предупреди, че все пак трябва да се направи повече по отношение на предприятията, за да се гарантира, че те управляват отговорно активите с отворен код.
„Без значение какво ще се направи заради тези упражнения, нито едно търговско приложение няма да стане по-сигурно, ако организациите за разработка не инвестират повече в управлението на отворения код, който използват.“
Макгуайър обясни, че най-голямата заплаха за сигурността на отворения код са лошите практики за поправяне от страна на организациите, които използват код на трети страни.
„Когато над 70 % от комерсиалните приложения имат високорискови уязвимости с отворен код, а средната възраст на всички уязвимости е 2,8 години, е ясно, че най-голямата тревога не е свързана с общността с отворен код, а с организациите, които не успяват да бъдат в крак с различната работа по коригиране на сигурността, която общността извършва.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.