Търсене
Close this search box.

CISA сигнализира, че иска да насърчи по-тясното сътрудничество между индустрията, регулаторите и общността на отворения код.

Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) обяви нови усилия за осигуряване на сигурността на екосистемата с отворен код, включително по-тясно сътрудничество между регулаторните органи и общността.

Обещанието на агенцията за киберпространството бе дадено по време на двудневна среща на високо равнище по въпросите на сигурността на софтуера с отворен код (OSS), като директорът Джен Истърли подчерта неразделната роля, която OSS играе в основата на критичните услуги в САЩ.

По време на откриването на срещата на високо равнище за сигурността на софтуера с отворен код Истърли заяви, че през последните години организацията е поставила по-голям акцент върху сигурността на софтуера с отворен код след големи инциденти със сигурността като Log4Shell.

„Ние в CISA сме особено фокусирани върху сигурността на OSS, защото, както всички тук знаят, по-голямата част от нашата критична инфраструктура разчита на софтуер с отворен код“, каза тя.

„И макар че уязвимостта Log4Shell може би беше голям сигнал за събуждане за много хора в правителството, тя показа това, което тази общност знае и за което предупреждава от години: поради широкото си разпространение експлоатацията на уязвимостите на OSS става по-влиятелна.“

На 7 март CISA обяви редица ключови действия, които предприема, насочени към осигуряване на сигурността на веригата за доставка на софтуер, много от които включват предоставяне на повече практическа подкрепа за разработчиците на софтуер с отворен код, които искат да защитят своите проекти.

По-специално, агенцията ще стартира проект за подобряване на сътрудничеството и обмена на информация между разработчиците на софтуер с отворен код и операторите на инфраструктура.

Агенцията също така ще работи в тясно сътрудничество с хранилищата на пакети, за да насърчи приемането на Принципите за сигурност на хранилищата на пакети.

Разработената от CISA и работната група за осигуряване на сигурността на софтуерните хранилища към Фондацията за сигурност на отворения код (OpenSSF) рамка очертава доброволни нива на зрялост на сигурността на пакетните хранилища.

Пет от най-популярните оператори на хранилища за пакети предприемат стъпки, за да се присъединят към рамката, включително Rust Foundation, Python Software Foundation, Packagist и Composer, Maven Central и npm.

Ходът на CISA е положителна стъпка за сигурността на отворения код

Съобщението на CISA беше приветствано от заинтересованите страни в индустрията като положителна промяна към по- съвместен подход между разработчиците на софтуер с отворен код и агенциите за сигурност.

Майк Макгуайър, старши мениджър софтуерни решения в Synopsys Software Integrity Group, заяви, че в миналото поддържащите софтуер с отворен код са били доста старателни в поддържането на сигурността и актуалността на своя код, но инициативата, стартирана от CISA, би трябвало да помогне за по-нататъшното подобряване на нещата.

„Усилията на общността с отворен код, съгласувани с CISA в рамките на тази инициатива, са показателни за една по-широка истина, а именно, че поддръжниците и управителите на проекти с отворен код като цяло вършат ефективна работа по поддържане на сигурността, актуалността и приемливото качество на своя код“, обясни той.

„Няма съмнение, че  заплахите се възползват от присъщото доверие, което имаме в отворения код, така че тези усилия би трябвало да допринесат за предотвратяване на атаки по веригата на доставки, които започват на ниво разработване на проекти с отворен код.“

Макгуайър предупреди, че все пак трябва да се направи повече по отношение на предприятията, за да се гарантира, че те управляват отговорно активите с отворен код.

„Без значение какво ще се направи заради тези упражнения, нито едно търговско приложение няма да стане по-сигурно, ако организациите за разработка не инвестират повече в управлението на отворения код, който използват.“

Макгуайър обясни, че най-голямата заплаха за сигурността на отворения код са лошите практики за поправяне от страна на организациите, които използват код на трети страни.

„Когато над 70 % от комерсиалните приложения имат високорискови уязвимости с отворен код, а средната възраст на всички уязвимости е 2,8 години, е ясно, че най-голямата тревога не е свързана с общността с отворен код, а с организациите, които не успяват да бъдат в крак с различната работа по коригиране на сигурността, която общността извършва.“

 

Източник: itpro.co.uk

Подобни публикации

11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
Бъдете социални
Още по темата
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
Последно добавени
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!