İç Güvenlik Bakanlığı 11 milyon dolar yatırım yapmayı planlıyor Biden yönetiminin ulusal siber güvenlik stratejisi kapsamında odaklandığı temel alanlardan biri olan açık kaynaklı yazılımlarda güvenliğin iyileştirilmesine yönelik adımlar attıklarını belirten Ulusal Siber Güvenlik Direktörü Harry Coker Jr.
Cumartesi günü Las Vegas’ta düzenlenen Def Con konferansında konuşan Coker, yatırımın, kritik altyapı sağlayıcıları tarafından operasyonel teknoloji ortamlarında kullanılan açık kaynaklı yazılımların yaygınlığını değerlendirecek olan Açık Kaynaklı Yazılım Yaygınlık Girişimi adlı bir programı destekleyeceğini söyledi.
Coker, sunumunun metninde yer alan bilgilere göre, “Açık kaynak kodlu yazılımların dijital altyapımızın temelini oluşturduğunu biliyoruz ve bir hükümet olarak daha geniş altyapı çabalarımızın bir parçası olarak topluma geri katkıda bulunmamız hayati önem taşıyor.” dedi.
Finansman, İki Partili Altyapı Yasası’nın bir parçası olarak DHS’den gelecek.
Coker, Ulusal Siber Direktör Ofisi’nin yeni önerilen adımları ana hatlarıyla açıkladığı bir rapordan sadece bir gün sonra yatırım planlarını ayrıntılı olarak açıkladı 2023 bilgi talebi Açık kaynaklı yazılım güvenliği hakkında.
Raporda, yönetimin açık kaynak güvenliğini hızlandırmak için kilit federal ajansları harekete geçirmesi çağrısı yapıldı. Bunlar arasında yazılım malzeme listesinin genişletilmiş geliştirilmesi ve bir ABD Hükümeti Açık Kaynak Program Ofisi kurulması yer alıyor.
Raporda, federal hükümetin açık kaynak güvenliğini iyileştirmek için atması gereken ek adımlar sunuldu ve hükümete şu önerilerde bulunuldu:
- Bellek açısından güvenli programlama dillerinin benimsenmesini artırmak için yeni teşvikler sunun.
- Açık kaynaklı yazılım ekosistemini güvence altına almak için açık kaynaklı araçların ve kütüphanelerin geliştirilmesine fon sağlayın.
- Büyük dil modelleri ve makine öğrenimi de dahil olmak üzere yapay zekanın kullanımını araştırın.
- Açık kaynak alanında kamu-özel sektör ortaklıklarını takip edin.
- Açık kaynak kodlu yazılımların güvenliğini sağlamak için geliştirici topluluğundaki yeni ve mevcut yeteneklerin geliştirilmesine yatırım yapın.
Coker, Def Con’daki konuşmasında hükümetin ancak bu kadar yardım sağlayabileceğini vurguladı. Daha geniş topluluğun da kodlama uygulamalarına yaklaşımını ve daha büyük güvenlik endişelerini ele alış biçimini değiştirmek için çaba göstermesi gerekiyor.
Sınır kapısı protokolündeki güvenlik açıklarının yıllardır bilindiğini, ancak ABD’deki internet trafiğinin büyük bölümünün hâlâ kaçırılma tehlikesi altında olduğunu belirtti.
Coker, “Hafızaya zarar vermeyen programlama dilleri de yıllardır var, ancak toplumumuzun temelini oluşturan kritik yazılımlar, sadece kullanışlı olduğu için C ile yazılıyor” dedi.
Coker, açık kaynaklı geliştirmenin etrafındaki “ortakların trajedisi”nin, sorunların iyi anlaşılmasına rağmen hayati öneme sahip paketlerin “az bütçeli” çalışan gönüllüler tarafından sürdürülmesi olduğunu söyledi
Synopsys Software Integrity Group Yazılım Tedarik Zinciri Risk Stratejisi Başkanı Tim Mackey, Coker’ın Def Con’daki sunumunun, kamuoyunun açık kaynak güvenliğine ilişkin anlayışında bir dönüm noktası teşkil ettiğini söyledi.
Mackey, e-posta yoluyla yaptığı açıklamada, “Daha güvenli açık kaynak geliştirme uygulamalarına yönelik çağrılar önemlidir, ancak bu tür çağrıların açık kaynağın ticari yazılımdan temelde farklı olduğunu ve sadece belirli açık kaynak projelerine para dökmenin istenen sonucu vermeyebileceğini kabul etmesi gerekir” dedi. “Açık kaynak, geliştirme ekiplerinin çeşitliliği ve bu ekiplerin seçtikleri işlevleri ele alma özgürlükleri nedeniyle gelişir.”