Bu ses otomatik olarak oluşturulur. Geri bildiriminiz varsa lütfen bize bildirin.
Kasım 2021’de, her yerde bulunan açık kaynaklı bir kod parçasındaki sıfır günlük bir güvenlik açığı, teknoloji endüstrisini sersemletti ve büyük ölçüde gönüllü açık kaynaklı ekosistemin güvenliğini sağlayacak acil bir çaba sarf etti. Yaklaşık dört yıl sonra, bu çaba önemli ilerleme kaydetti, ancak birden fazla aksilikle de engellendi.
Log4shell güvenlik açığı Popüler bir Java günlüğe kaydetme aracı, Biden yönetimini açık kaynaklı güvenliğe odaklanmaya ikna etti ve Amazon, Google ve Microsoft gibi büyük teknoloji şirketlerini on milyonlarca dolar güvenlik iyileştirmelerine taahhüt etmeye teşvik etti. Bu işin çoğu aracılığıyla meydana geldi Linux Vakfı’nın Açık Kaynak Güvenlik Vakfı (OpenSSF), Çok sayıda araç yarattı geliştiricilerin kodlarının risklerini analiz etmesine ve ele almalarına yardımcı olmak.
Ama ne ile başladı Beyaz Saray Zirvesi ve endüstri çapında hırslı bir “Mobilizasyon Planı” Yakında zorluklarla karşılaştı. Üretken AI olarak bilinen yeni bir teknoloji, işi finanse eden teknoloji devlerini rahatsız etti ve ABD’deki siyasi bir geçiş söndürüldü Hükümet çabaları Endüstriyi takip etmek için.
Bu engellerin üstesinden gelmek ve açık kaynaklı güvenliği iki katına çıkarmak çok önemlidir, uzmanlar siber güvenlik dalışına, kodun kritik altyapıdan günlük ev hesaplamasına kadar her şeyde ne kadar yaygın olduğu göz önüne alındığında.
Açık kaynak güvenlik üzerinde çalışan Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) eski kıdemli teknik danışmanı Jack Cable, “Yaptığımız momentumun kaybolmadığından emin olmalıyız” dedi.
Açık kaynaklı güvenlik ilerlemesi
2022’nin başından beri, finansman ve dikkat infüzyonu önemli açık kaynaklı güvenlik iyileştirmelerine yol açmıştır.
En önemli gelişmelerden biri, geliştirme kampanyasıydı Açık kaynaklı paket depolarının güvenliği. Havuz, bu hayati platformlarda fon iyileştirmelerine yardımcı olan Amazon Web Services geliştirici deneyimi direktörü David Nalley, “tüketilen yazılımın çoğunluğu için modern dağıtım noktasıdır” dedi. OpensSF’nin baş güvenlik mimarı Christopher Robinson, bu çalışmanın amacının “bu ekosistemlerdeki tüm projelerin miras almasını” sağlamak olduğunu söyledi.
Amazon ayrıca, bellek güvenli programlama dili Rust’un benimsenmesi için bir TLS şifreleme kütüphanesinin arkasındaki geliştiricilere yardımcı oldu Federal standartları karşılayan bir kriptografik algoritmadüzenlenmiş endüstrilerdeki şirketler de dahil olmak üzere bu standartları karşılaması gereken kuruluşların bellek güvenli kod kullanmasını kolaylaştırır.
Robinson openssf’leri vurguladı Sigstore ProjesiBu, geliştiricilerin kurcalamayı önlemek için kodlarını dijital olarak imzalamasını sağlar. Ayrıca teknoloji şirketlerini, bu grupların daha geniş ekosisteme “büyükelçileri” olarak hizmet etmek için belirli programlama dilleri üzerine inşa edilmiş topluluklara güvenlik uzmanlarını yerleştirdikleri için övgüde bulundu.
Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), yetkisini ve uzmanlarının itibarlarını, açık kaynaklı kod kullanarak ajanslar ile üreten geliştiriciler arasında köprüler kurmak için kullandı.
“[We] Gerçekten çok şey yaptı… Olaylar meydana geldiğinde, insanlar birbirleriyle bağlantı kurabilecekleri ”dedi. XZ Utils Krizikötü niyetli bir aktör, bunalmış bir geliştiriciyi kandırmak ve yaygın olarak kullanılan paketlerine bir arka kapı dikmek için sosyal mühendislik kullandı.
Belki de en önemlisi, açık kaynaklı paketlere bağlı olan şirketler, açık kaynaklı geliştiricilere ödenmemiş işgücüler gibi davranmak yerine, güvenli olmalarını sağlamak için giderek daha fazla sorumluluk almaktadır.
IBM’deki Open Technologies kıdemli teknik personeli Arnaud Le Hors’a göre, açık kaynaklı geliştiriciler yıllarca kâr için kodlarını kullanan şirketler tarafından kullanıldıklarını düşündüler. Şimdi, daha fazla işletme “ürünlerinizde kullanmaya karar verdiğiniz açık kaynaklı paketlerdeki güvenlik açıklarını düzeltmek için topluluğa güvenemeyeceğinizi fark edin.”
“Son birkaç yılda çok iyi iş oldu” dedi Cable, “ve yine de çok şey devam ediyor.”
Azalan yatırım
Log4shell, açık kaynaklı ekosistemin güvencesiz durumunu ortaya çıkardıktan sonra, önde gelen teknoloji şirketleri Biden yönetim yetkilileriyle bir araya geldi Ve 30 milyon dolardan fazla vaat edildi Hizmetler, altyapı ve yardım için personel.
Ancak şirketlerin çabaları bazı sonuçlar vermiş olsa da, uzmanlar beklentileri karşılamadıklarını söyledi.
Teknoloji firmalarının taahhütleri “vaat edilen miktarda gerçekleşmedi”, “çok fazla hayal kırıklığına yol açtı”, Cisa’nın açık kaynaklı güvenlik programını iki yıl boyunca yöneten Aeva Black. Buna ek olarak, diğer birçok şirket hiçbir şey bile yapmadı, dedi Cable, çünkü “hala tanımıyorlar… açık kaynaklı yazılımlardan çıktıkları değeri” ve “bakıcılarla nasıl etkileşime girdiklerini düşünmüyorlar,[ing] geri katmak için. “
OpensSF’nin çalışmalarının en büyük ilk fon sağlayıcılarından biri olan Amazon, “bugün log4shell sonrası olduğumuzdan daha fazla yatırım yapmak” dedi. [investments] iyi ödedim. Diğerleri, belki de umduğumuz gibi değil. ”
Şirketler hırslarını geri çektikçe, ABD hükümeti onları ileriye taşıyarak Başkan Donald Trump altındaki alanı terk etmeye gitti. Le Hors, açık kaynaklı çalışma “yeni yönetim altında yavaşladı” dedi.
Biden yönetimi vaat etti 11 milyon dolar Geçen Ağustos ayında açık kaynaklı güvenliğe doğru, ancak Black “bu vaatleri takip etmiyor” dedi.
Trump yönetiminin Cisa’ya Keser Ve ayrılışlar Siyah, kablo ve yaygın olarak saygın diğer konu uzmanları esasen ortadan kaldırıldı Ajansın açık kaynaklı güvenlik konusundaki çalışmaları.
CISA’nın savunuculuğu, teknoloji şirketlerindeki açık kaynaklı uzmanların işverenlerini “taahhütlerini takip etmeye” ve topluluğa daha aktif katılımcılar olmaya ikna etmesine yardımcı oldu.
İleride, Cable, “CISA’nın ve genellikle federal hükümetin katılım seviyesinin ne olacağı belirsiz” dedi.
Ajansın Halkla İlişkiler Direktörü Marci McCarthy yaptığı açıklamada, CISA’nın açık kaynaklı güvenlik konusunda “lazer odaklı” olduğunu söyledi. McCarthy, “Açık kaynaklı yazılım, hem federal hükümet hem de ABD kritik altyapısı için yazılım tedarik zincirimizde kritik bir yapı taşıdır” dedi. “CISA’da açık kaynaklı yazılımlarda riskleri anlamaya ve azaltmaya adanmış yetenekli bir ekibe sahip olduğumuz için ayrıcalıklıyız.”
Openai yanlışlıkla her şeyi yükseltir
30 Kasım 2022’de, OpenSSF’nin güvenlik girişimine sadece birkaç ay kala Openai, ChatGPT’yi yayınladı. Üretken AI chatbots halkı büyülediğinden, teknoloji şirketleri teknolojiyi kucaklamak için koştu. Ve o zamanlar Black, “ [open-source security] Vaatler, geliştiricilerini açık kaynaklı güvenlikten ve AI araçlarına yeniden atamaya başladı. ”
Sonraki yıllarda Black, şirketlerin “AI’da iki katına çıkması için büyük pivotlar” yaptıkça açık kaynak güvenliğinin yol kenarında düştüğünü söyledi.
Black’in şirkette ve CISA’da açık kaynaklı güvenlik konusunda çalıştığı Microsoft uzmanlarının çoğu “şimdi AI ekiplerine taşındı” dedi. Cisa onları Microsoft’tan uzaklaştırırken, şirketteki ekibinin “ayrıldığını ve AI çalışmalarına yeniden atandığını” hatırladılar.
Microsoft’ta açık kaynaklı çalışmaları destekleyen yasal ve politika çalışanları da AI’ya yeniden atandı, Black ve Microsoft yan kuruluşu GitHub “büyük bir değişim yaptı” dedi.
Microsoft hem de Google “insan kaynaklarını bu çabadan uzaklaştırıyor gibi görünüyor” dedi.
Microsoft, Black’in hesabına itiraz etmedi, ancak açık kaynak ekosistemleri ve açık kaynaklı inkübasyonlar direktörü Ryan Waite, şirketin kaldığını söyledi derinden dahil ekosistemde. Bir Google sözcüsü, açık kaynak güvenliğine “önemli miktarda kaynak ve uzmanlık yatırmaya devam ettiğini” söyledi.
Bazı uzmanlar, AI’nın güvenlik açıklarını bulma ve düzeltme sürecini önemli ölçüde hızlandırarak açık kaynak güvenliğini artıracağına inanmaktadır. Son zamanlarda Savunma İleri Araştırma Projeleri Ajansı (DARPA) bir ödül yarışması yaptı– openssf ile ortaklaşa düzenlendiAI ile çalışan güvenlik açığı algılama yazılımı geliştirmek için.
Ama diğerleri o kadar iyimser değil. Siyah işaret etti sinirli bir konferans konuşması yaygın olarak kullanılan curl paketinin geliştiricisi tarafından. “O sualtı,” dedi Black, “AI tabanlı geliştirici slop tarafından bunalmış-insanlar çöp olan üretken AI araçları tarafından açıkça yazılmış yamalar öneriyorlar ve sadece onlardan geçip onları reddetmeye devam etmek zorundalar.”
Çözülmemiş sorunlar
Onlara değişen derecelerde bağlılık gören uzmanlara göre, çok çeşitli açık kaynaklı güvenlik sorunları çözülmedi.
En ciddi sorunlardan biri, yazılım geliştiricilerinin – bunlar dahil ABD ordusuna tedarik etmek – Genellikle kullandıkları kodun nereden geldiğini bilmiyorum. Nalley, “İnsanlar tükettikleri hakkında büyük bir fikir sahibi değiller” dedi. Bu sorun, bir yazılım parçasında kaç paketin olduğu için özellikle ciddidir – ortalama 180Sonatype’e göre – ve bu paketlerin çoğunun ne kadar güvensiz olduğu nedeniyle. Robinson, Log4J’deki yaygın olarak yayınlanan güvenlik açığından yaklaşık dört yıl sonra, kusurlu sürüm hala paketin tüm indirmelerinin% 13’ünü oluşturuyor.
OpenSSF’nin puan kartı projesi Nalley, geliştiricilerin bu “bağımlılık” risklerini ele almalarına yardımcı olacak. Malzeme yazılım faturaları (SBOMS) Paketlerin bağımlılıklarını aydınlatmaya yardımcı olabilir, ancak Black açık kaynakın karmaşıklığının onları idealden daha az hale getirdiğini söyledi.
En seyrek korunan ancak hayati projelerin belirlenmesi ve yardımcı olması bir başka önemli zorluk da olmaya devam etmektedir. Tüm İnternet’i destekleyen bazı projeler, Bir veya iki gönüllü. Nalley, “Oraya yatırım yapmamız gerekiyor,” dedi. Harvard Business School bu sorunu ele alıyor periyodik bir nüfus sayımı.
XZ UTILS krizi, projelerin güven boşluklarını azaltmanın ve her kod satırının provenansını anlamanın önemini vurguladı ve Le Hors OpenSSF’nin Yazılım artefaktları için tedarik zinciri seviyeleri (SLSA) Projesi buna yardımcı olacaktır.
Teknoloji şirketleri, bellek güvenli programlama dillerinde paketleri yeniden yazma evlat edinme zorluklarıyla karşı karşıyadır. “Çok fazla [packages] Yeniden yazmaya çalıştık görmedik [significant] Evlat edinme, ”dedi Nalley. yeniden yazmaya yardımcı oldu Çok önemli sudo paketi ve Linux dağıtımlarını dahil etmeye teşvik etti, ancak çok fazla bağımlılığı olduğunu söylediler, bu yüzden ekip yeniden yapmak zorunda kaldı.
Paket depolarını güvence altına almak için daha fazla çalışma devam ediyor. Nalley, “Sıhhi tesisata yatırım yapmak gerçekten önemli” dedi.
ABD’deki iş yavaşlasa bile, diğer hükümetler hareketsiz durmuyor. Yeni Avrupa Birliği mevzuatı işletmeleri, muhtemelen küresel dalgalanma efektleri olacak olan listeledikleri açık kaynaklı kodun güvence altına alınmasından sorumlu tutacaktır.
Le Hors, “Log4shell sorunundan bu yana çok ilerleme kaydettik” dedi. “Neyse ki hala biraz ilerleme kaydediyoruz, çünkü ABD tüm dünya değil.”