Ulusal Siber Direktörün Beyaz Saray Ofisi bir Perşembe bilgi talebi Biden yönetiminin ulusal siber güvenlik stratejisinin kritik bir parçası olan açık kaynak güvenliğini çevreleyen kilit konularda kamu ve özel sektör paydaşlarından girdi almak.
Açık kaynağın güvenliği artık bir küresel endüstri önceliği Apache Log4j krizi sırasında, araştırmacılar 2021’in sonlarında kimliği doğrulanmamış bir bilgisayar korsanının basit bir kod satırı kullanarak uzak sistemlerin kontrolünü ele geçirmesine izin verebilecek kritik bir güvenlik açığı keşfettiğinde.
Kriz, uygulamaların %96’sının açık kaynağa bağlı olduğunu ortaya çıkardı, ancak açık kaynağı koruyan kişiler çoğunlukla, bu uygulamaların güvenliğini düzgün bir şekilde yönetecek kaynaklara sahip olmayan topluluk temelli, ücretsiz gönüllüler.
Cybersecurity and Infrastructure Security Agency’de siber güvenlikten sorumlu yönetici yardımcısı Eric Goldstein ve Camille Stewart Gloster, “Açık kaynaklı yazılımın faydalarını ancak federal hükümet dahil herkes ekosistemi desteklemek için üzerine düşeni yaptığında tam olarak gerçekleştirebiliriz.” ONCD’de teknoloji ve ekosistem güvenliğinden sorumlu ulusal siber direktör yardımcısı, bir blog yazısında yazdı Perşembe.
“Federal hükümet, dünyadaki en büyük açık kaynaklı yazılım kullanıcılarından biridir ve onu güvence altına almak için üzerimize düşeni yapmalıyız” dediler.
ONCD, diğer federal kurumlarla ortaklaşa, bellekte güvenli dillerin geliştirilmesi ve daha güvenli yazılım geliştirme teknikleri hakkında da bilgi istiyor.
CISA, Ulusal Bilim Vakfı, Savunma İleri Araştırma Projeleri Ajansı ve Yönetim ve Bütçe Ofisi, bilgi talebi üzerine ONCD ile birlikte çalışıyor.
Daha önce Log4j krizi sırasında, ONCD, OMB’nin Federal Baş Bilgi Sorumlusu Ofisi ile birlikte, hükümet kaynaklarını daha iyi koordine etmek ve konuyla ilgili politika çözümleri geliştirmek için Açık Kaynak Yazılım Güvenliği Girişimi adlı kurumlar arası bir çalışma grubu kurdu.
Grup üç odak alanı belirlemiştir:
- Bellek açısından güvenli programlama dillerinin benimsenmesi
- Güvenli, gizliliği koruyan güvenlik kanıtları için uygulama gereksinimleri tasarlama
- Önceliklendirme için odaklanılan alanların belirlenmesi ve teşvik edilmesi
Bellek açısından güvenli dillere yapılan vurgu, yazılım güvenlik açıklarındaki büyük rollerinden kaynaklanmaktadır.
Ulusal Güvenlik Teşkilatında, Kasım ayında yayınlanan kılavuz, 2016’dan 2018’e kadar güvenlik açıklarının %70’inin bellek güvenliği sorunlarına bağlı olduğunu gösteren Microsoft verilerine atıfta bulundu. Google, Chrome güvenlik açıklarına bağlı benzer bir yüzde belirledi.
CISA Direktörü Jen Easterly, savunan bir konuşma sırasında Rust veya Go gibi hafıza açısından güvenli dillere geçiş çağrısını yineledi. tasarım gereği güvenli İlkeler Şubat ayında Carnegie Mellon Üniversitesi’nde. Easterly daha sonra üniversiteleri bellek güvenliğini mühendisliğe dahil edin ve bilgisayar bilimi dersi çalışması.
Beyaz Saray, açık kaynak güvenliğiyle ilgili temel sorunları ele almak için birkaç yıldır açık kaynak topluluğu ve diğer paydaşlarla birlikte çalıştığından, sektör yetkilileri RFI’yi memnuniyetle karşıladı.
Beyaz Saray açık kaynak güvenliği konulu bir zirveye ev sahipliği yaptı Log4j krizinin başlarında, hükümetin ve yazılım endüstrisinin açık kaynak topluluğundan nasıl yararlandığına dair temel endişeleri belirleyerek, ancak topluluğa iş için uygun şekilde tazminat vermek için nispeten az şey yaptı.
Tidelift’teki yetkililer, RFI’nin ekonomik teşviklerle ilgili sorunları ele almak için iyi bir fırsat sunduğunu söylüyor.
Tidelift’in kurucu ortağı ve genel danışmanı Luis Villa, “Başka hiçbir sektördeki tedarikçilerin sağlam ve güvenli ürünleri ücretsiz olarak sağlamasını beklemiyoruz – ancak açık kaynaktan beklentimiz bu” dedi. “Ve ortak teknoloji altyapımız için varoluşsal bir riski temsil ediyor.”