3. Taraf Risk Yönetimi, Yönetim ve Risk Yönetimi, Hükümet
Ajans, Açık Kaynaklı Yazılım Güvenlik Yol Haritasının 2. Aşamasında
Chris Riotta (@chrisriotta) •
8 Temmuz 2024
ABD Siber Savunma Ajansı, siber güvenlikteki kritik bir soruya yanıt bulmak için yeni bir çerçeve oluşturuyor: Açık kaynaklı güvenlik projelerinin güvenilirliği doğru bir şekilde nasıl ölçülebilir ve şeffaf bir şekilde nasıl iletilebilir?
Ayrıca bakınız: İsteğe Bağlı | Gelişmiş Uç Nokta Stratejileriyle Sıfır Güven Hedeflerinize Nasıl Ulaşırsınız
Siber Güvenlik ve Altyapı Güvenlik Ajansı, Pazartesi günkü bir blog yazısına göre açık kaynaklı yazılım güvenliği yol haritasının ikinci aşamasında. Yol haritası, federal hükümet genelinde OSS kullanımına ve risklerine ilişkin görünürlüğü artırmayı amaçlıyor.
CISA’nın açık kaynaklı yazılım güvenliği bölüm şefi Aeva Black’e göre, belirli OSS bileşenlerinin güvenilirliğini değerlendirmek için ölçümler, kod barındırma hizmetleri ve paket depolarından sağlanan meta verilerden gelebilir. Black, blog yazısında kurumun son OSS çabalarının iki bölümden oluştuğunu söyledi: “Güveni ölçmek ve kullanımını ölçeklendirmek için bir çerçeve oluşturmak.”
CISA, Mart ayında açık kaynaklı yazılım ekosistemlerinin güvenliğini güçlendirmeyi amaçlayan bir girişim başlattı ve yazılım paketlerinin depolandığı ve bakımının yapıldığı çevrimiçi depoların güvenliğini artırmak için bir dizi ilke ve en iyi uygulama geliştirmek üzere Açık Kaynak Güvenlik Vakfı ile işbirliği yaptı. CISA Direktörü Jen Easterly, açık kaynaklı yazılımı “Amerikalıların her gün güvendiği kritik altyapının temeli” olarak tanımladı (bkz: CISA, Açık Kaynaklı Ekosistemi Güvence Altına Almak İçin Yeni Çabalar Başlatıyor).
Yeni çerçeve mevcut yaklaşıma dayanıyor ve proje, ürün, koruma faaliyetleri ve politikalar olmak üzere dört boyuta odaklanıyor.
Geliştirilmiş yaklaşım, OSS projelerinde bilinen güvenlik açıklarının veya güncel olmayan bağımlılıkların varlığına ve açık kaynaklı girişimler için aktif katkıda bulunanların sayısına veya hesap sahipliğindeki beklenmeyen değişikliklere ilişkin şeffaflık sağlamayı amaçlamaktadır. Çerçeve ayrıca belirli girişimlerin kod incelemesi gerektirip gerektirmediği, güvenlik açığı ifşa süreçlerini zorunlu kılıp kılmadığı veya çok faktörlü kimlik doğrulamayı zorunlu kılıp kılmadığı gibi federal açık kaynaklı proje güvenliği özelliklerini de araştıracaktır.
CISA ayrıca, OSS güvenilirliğini belirleme değerlendirme sürecini otomatikleştirmeye yardımcı olmak için Hipcheck adlı açık kaynaklı bir aracı finanse edeceğini duyurdu. Black’e göre Hipcheck “ölçüm sonuçlarını kullanışlı bir çıktıya birleştirecek” ve “bu süreci uygulanabilir ve ölçeklenebilir hale getirmek için araçlara ihtiyaç var.”
CISA, açık kaynaklı güvenliği çevreleyen federal uygulama süreciyle ilgili yorum talebine hemen yanıt vermedi.