Bu Help Net Security röportajında, önde gelen bir endüstri lideriyle tanışıyoruz. Açık Kaynak Güvenlik Vakfı’nın (OpenSSF) CTO’su Brian Behlendorf, Beyaz Saray CTO ofisi, Dünya Ekonomik Forumu ve Linux Vakfı ile deneyimlerinin OpenSSF’e liderlik etme ve açık kaynak güvenlik zorluklarını ele alma üzerindeki etkisine ilişkin içgörülerini paylaşıyor.
Behlendorf, açık kaynak yazılım benimsemesinin yörüngesini, güvenlikle ilgili karşılaştığı benzersiz zorlukları ve OpenSSF’in bu sorunları çözmek için nasıl çalıştığını tartışıyor. Ek olarak, açık kaynak tedarik zincirlerinin güvenliğini sağlamada geliştiriciler, denetçiler ve düzenleyicilerle otomatikleştirilmiş araçların, en iyi uygulamaların ve işbirliğine dayalı çabaların rolünü vurgulamaktadır.
Beyaz Saray CTO ofisi, Dünya Ekonomik Forumu ve Linux Vakfı ile olan deneyimleriniz, OpenSSF’e liderlik etme ve açık kaynak güvenlik zorluklarını ele alma yaklaşımınızı nasıl etkiliyor?
Kariyerim boyunca, açık kaynaklı yazılım geliştirmeyi ve diğer açık teknoloji çabalarını yönlendiren benzersiz dinamikleri ana akım benimseme ve sistematik entegrasyonla uzlaştırmaya odaklandım. 1994’te bulunduğum yerden günümüze bakmaya çalıştığımda, modern toplumun böylesine erdemli bir döngüyü sürdürmek için aydınlanmış kişisel çıkar ve inatçı kapitalizmin bir kombinasyonuna bağlı olarak tamamen açık kaynak kod üzerinde çalışması akıllara durgunluk veriyor. iki zamanlı bir motor.
90’ların ortasındaki idealist ineklerden birkaçından daha fazlası vardı ve daha sonra tesadüfen bu benimseme için savaşabileceğimiz rollere indik. Ancak her yerde bulunmayla birlikte yepyeni zorluklar ortaya çıkıyor – artık arızalar daha pahalı, şimdi kritik altyapı hediye ekonomisine bağlı. Dolayısıyla, artık iş dünyası başkanları ve politika yapıcılar “Bunu kullanabilir miyiz?” “Buna güvenebilir miyiz?” “Riski nasıl yönetiriz?” Bu gidişatın Beyaz Saray’da, Dünya Ekonomik Forumu’nda ve şimdi de Açık Kaynak Güvenlik Vakfı’ndaki şirketler, hükümetler ve diğer kuruluşlar arasında yakından izlenmesini izledim.
Özellikle kamu sektörü, ilk başta hükümet sistemleri tarafından kullanılmasına izin vermekten; onu kullanmanın avantajlarını ilk ilkeler perspektifinden görmek. Şimdi, “riski nasıl yönetiriz?” Aşama, her türden hükümet, yazılımın yazılması, inşa edilmesi ve sevk edilmesindeki sistemik sorunlar Solarwinds gibi yaygın krizlere yol açabileceği zaman ne yapılabileceğini soruyor; veya Log4j’deki tek ve oldukça basit bir hatanın, onu ele almak için yükseltme için böylesine yıkıcı bir sürece yol açabilmesi.
Daha iyi yazılım tedarik zinciri araçları, daha iyi süreçler, geliştirici güvenlik eğitimi ve doğru zaman geldiğinde devlet düzenlemeleri ve devlet teşviklerinin bir kombinasyonu, bizi bu tür sorunların çok daha az görüldüğü, yazılım sistemlerimizin daha güvenli olduğu bir yere götürebilir. varsayılan olarak. Bunların hepsini doğru zamanda bir araya getirmek, OpenSSF’de çok zaman harcadığımız bir şey.
Açık kaynaklı yazılımların güvenlikle ilgili karşılaştıkları benzersiz zorluklar nelerdir ve OpenSSF bunları nasıl ele alır?
Tüm yazılım projelerinde olduğu gibi, açık kaynaklı yazılım projelerinde de asla gereğinden fazla personel bulunmaz; gönüllüler (elbette çoğu işverenleri tarafından “gönüllü”), sadece ihtiyaç duydukları işlevselliği yazmakla kalmayıp, aynı zamanda kendilerinin ve diğerlerinin bulduğu hataları düzeltmek için mücadele ediyorlar, teknik borçlarını ödüyorlar ve daha iyi güvenlik uygulamaları ve araçları uyguluyorlar, çoğu zaman geride kalıyorlar yeni özellik çalışmasına ve hata düzeltmeye kıyasla önceliklidir.
Ancak açık kaynaklı yazılımı farklı kılan, kaynak kodunun kullanılabilirliği, “çatallama hakkı” ve geliştirme sürecindeki şeffaflıktır. Kodu kullanılabilir hale getirerek ve yazılım oluşturmaya dahil olan her şeyi daha görünür hale getirerek, kodun alıcıları uygulamalarının güvenliğini çevirmek için daha fazla güce ve özgürlüğe sahip olur. Ancak bir OSS projesinin ne zaman diğerinden daha güvenli olduğunu değerlendirmek için pek çok harika araç yoktur.
Bu nedenle birçok parlak insan, OpenSSF’de Güvenlik Puan Kartı projesini oluşturmak için bir araya geldi. Ayrıca OSS tüketicilerinin bağımlılıkları için seçtikleri kodun riskini değerlendirmesine yardımcı olmak için birlikte çalışan OpenSSF Rozeti, güvenlik raporları veritabanı ve diğer projelerimiz var. Bunun, geliştiricileri ve yöneticilerini güvenlik çalışmalarına öncelik vermeye ve bu tür çalışmaların nerede en büyük etkiye sahip olabileceğini anlamaya teşvik edeceğini umuyoruz.
Başka bir açıdan bakıldığında, OSS geliştirme (açıkçası tüm yazılım geliştirmeleri gibi) İnternetin daha küçük olduğu, Man-In-The-Middle saldırılarını göz ardı edebilecek komut dosyaları oluşturduğumuzda çok daha az bağımlılık kullandığımız bir zamanda büyüdü. , sosyal hack’ler, yazım hataları veya modern yazılım tedarik zincirinin artık korunmamızı gerektirdiği diğer türden ihanetler. Artık paketlerdeki imzaları geliştiricileri tarafından doğrulamak için Sigstore gibi araçlarımız var; ve tedarik zincirindeki bileşenlerin yapı kalitesini anlamak ve doğrulamak için bir belirtim olan SLSA. Bunlar, bu zayıflıkları gidermek için OpenSSF çabalarının birçok örneğinden yalnızca ikisidir.
Çabalarımız, yalnızca açık kaynak kodunu değil, tüm yazılım dünyasını daha güvenli hale getiriyor. Yazılım ekiplerinin bu standartları ve araçları dahili uygulamaları için ve diğerlerini OSS’nin üzerine inşa edilen tescilli yazılımlar için kullandığını görüyoruz.
Açık kaynak tedarik zincirlerinin güvenliğini sağlamada otomatik araçların ve en iyi uygulamaların rolü hakkında ayrıntılı bilgi verebilir misiniz?
Otomatik araçlar, güvenli uygulamaları otomatikleştirerek ve kullanımlarını kolaylaştırarak geliştiricilerin üzerindeki yükü azaltarak, açık kaynağı geniş ölçekte güvence altına almanın önemli bir parçasıdır. Açık kaynak bakım sağlayıcılarına aşırı yük bindirmeden çok sayıda projenin güvenliğini sağlamaya yardımcı olarak OSS ekosisteminin güvenliğini sağlamada önemli bir rol oynarlar. OpenSSF’de bu doğrultuda üzerinde çalıştığımız bazı çabalar, Alpha-Omega projesinin bir parçası olarak Security Tooling Working Group ve Omega toolchain’i içeriyor.
En iyi uygulamalar ise açık kaynak ekosisteminin üyelerine açık kaynakla nasıl çalışılacağına dair tavsiyeler ve bunları öğrenmenin ve uygulamanın kolay bir yolunu sunar. Güvenliği ve sürdürülebilirliği artıran uygulamaların benimsenmesini teşvik ederek OSS ekosisteminin güçlendirilmesine yardımcı olurlar. OpenSSF En İyi Uygulamalar Çalışma Grubu, güvenli yazılım geliştirme ve değerlendirme kılavuzları, OpenSSF Puan Kartı kullanarak açık kaynak projelerinin analizini otomatikleştirme ve güvenli yazılım geliştirme uygulamalarını eğitim materyallerine entegre etme çabaları gibi çabaları içeren açık kaynak geliştiricileri için en iyi uygulamaları sağlar.
OpenSSF, güvenlik ilkeleri oluşturmak ve dağıtmak için geliştiriciler, denetçiler ve düzenleyicilerle hangi şekillerde çalışır?
OpenSSF, çalışma gruplarımız aracılığıyla geliştiriciler ve açık kaynak topluluğunun üyeleriyle çalışır. Çalışma gruplarımızın her biri halkın katılımına açıktır ve çalışma gruplarının vizyonunu ve önceliklerini şekillendirmeye yardımcı olmak için açık kaynak geliştiricilerin ve topluluğun diğer üyelerinin katılımını aktif olarak memnuniyetle karşılıyoruz.
OpenSSF ayrıca, Açık Kaynak Yazılım Güvenliği Seferberlik Planı ile yaptığımız çalışmalardan, Kuzey Amerika OpenSSF Günü’nde hükümet ve açık kaynak topluluğunun nasıl birlikte çalışabileceğine dair yakın tarihli sohbetimize kadar, politika yapıcılar ve düzenleyicilerle ilişki kurmaya devam ediyor.
OpenSSF’in açık kaynak ekosistemini olumlu yönde etkilemek için başarıyla üstlendiği bazı önemli kesişen girişimlere ve projelere örnekler verebilir misiniz?
Girişimlerden biri, açık kaynak ekosistemini uzun vadede sürdürebilecek ve güvence altına alabilecek somut çabaları organize etmeye ve gerçekleştirmeye yardımcı olmak için Mayıs 2022’de başlattığımız Açık Kaynak Yazılım Güvenliği Seferberlik Planıdır. Bu plan, bu planda ana hatları çizilen vizyon ve girişimler etrafında 30 milyon dolarlık endüstri taahhüdüne yol açmıştır.
Çabalarımızdan bir diğeri de doğrudan bakımcı katılımı ve uzman analizi yoluyla açık kaynaklı yazılımların güvenliğini artırmaya yönelik bir girişim olan Alpha-Omega’dır. Bu proje, Node.js, jQuery, Rust, Python ve Eclipse dahil olmak üzere büyük, kritik açık kaynak projelerine yatırım yaptı ve yaygın olarak dağıtılan projeleri belirlemek ve güvenlik açıklarını büyük ölçekte düzeltmek için Omega araç zincirini oluşturdu.