3. Taraf Risk Yönetimi , Yönetişim ve Risk Yönetimi , Devlet
ABD Siber Ajansı Açık Kaynak Topluluğuyla Bilgi Paylaşımını Teşvik Etmeyi Hedefliyor
Chris Riotta (@chrisriotta) •
7 Mart 2024
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, bilgi paylaşımını ve gelişmiş paket deposu güvenliğini teşvik etmek için tasarlanmış bir dizi eylemle açık kaynak yazılım ekosistemlerinin güvenlik duruşunu iyileştirmeyi hedefliyor.
Ayrıca bakınız: Üçüncü Taraf Risk Yönetiminde Yapay Zekanın Etkisini Keşfetmek
Siber savunma kurumu yakın zamanda Açık Kaynak Güvenlik Vakfı ile ortaklaşa, yazılım paketlerinin saklandığı ve muhafaza edildiği çevrimiçi depoların güvenliğini sağlamaya yönelik bir dizi ilke ve en iyi uygulamaları özetleyen bir çerçeve yayınladı. CISA ayrıca Perşembe günü yaptığı duyuruda, “açık kaynak yazılım tedarik zincirini daha iyi korumak için” açık kaynak yazılım altyapısı operatörleriyle gönüllü bir işbirliği ve siber savunma bilgi paylaşımı çalışması başlattığını duyurdu.
CISA Direktörü Jen Easterly, ajansın Virginia genel merkezinde düzenlenen iki günlük açık kaynak yazılım güvenliği zirvesinin ardından yaptığı açıklamada, açık kaynaklı yazılımı “Amerikalıların her gün güvendiği kritik altyapının temeli” olarak nitelendirdi.
Easterly, açılış konuşmasında paket depolarının “açık kaynak yazılımın genel güvenlik duruşunu iyileştirmek için benzersiz bir şekilde konumlandırıldığını” ancak çoğu zaman onları büyük güvenlik açıklarına karşı duyarlı bırakan kaynak kısıtlamalarıyla karşı karşıya olduğunu söyledi.
CISA'ya göre, en popüler paket havuzlarından en az beşi Paket Deposu Güvenliği İlkeleri çerçevesine uygun adımlar atmayı taahhüt etti. Ajans, Python Yazılım Vakfı da dahil olmak üzere kuruluşların “kötü amaçlı yazılımları hızlı bir şekilde raporlamak ve azaltmak için” yeni araçlar geliştirmek için çalıştıklarını ve GitHub'un destek kaynaklarını GitLab, Google Cloud ve ActiveState'i içerecek şekilde genişlettiklerini söyledi.
Araştırmacılar, Python kitaplıkları için en yaygın kullanılan depolardan biri olan PyPi'de defalarca kötü amaçlı Python paketleri keşfettiler. CISA, Python ekosisteminin, paketleri doğrulamaya yardımcı olmak için dijital kanıtlara yönelik dizin desteğini sonlandırdığını söyledi.
Teknoloji güvenliğinden sorumlu ulusal siber direktör yardımcısı Anjana Rajan yaptığı açıklamada, “Güvenli ve dayanıklı bir açık kaynak yazılım ekosistemine sahip olmamızı sağlamak, ulusal bir güvenlik zorunluluğudur.” dedi.
Yetersiz kaynaklara sahip kar amacı gütmeyen kuruluşlar ve açık kaynak vakıfları genellikle en popüler yazılım depolarının yönetiminden sorumludur ve çoğu zaman büyük istismarları tespit edip azaltmakta zorlanırlar. Açık Kaynak Girişimi'nin ABD politika direktörü Deb Bryant'a göre, yeni girişimler bu kuruluşlara gelişmiş federal destek sağlamayı amaçlayacak.
Bryant, “Daha az temsil edilen, küçük, açık kaynaklı, kar amacı gütmeyen kuruluşların tartışmaya dahil edilmesi, işbirlikçi açık kaynak modelinin gücüne dayanarak uygulanabilir, pratik politikaları ve uygulamaları kolaylaştıracaktır” dedi.