OpenSSF descrive in dettaglio i progressi negli sforzi di sicurezza open source

41

Siamo entusiasti di riportare Transform 2022 di persona il 19 luglio e virtualmente dal 20 al 28 luglio. Unisciti ai leader dell’IA e dei dati per discussioni approfondite ed entusiasmanti opportunità di networking. Registrati oggi!

La sicurezza open source sta attualmente attraversando un periodo di cambiamento accelerato, grazie in gran parte agli sforzi dell’OpenSSF (Open Source Security Foundation) della Linux Foundation.

In un evento di un’intera giornata all’Open Source Summit del 20 giugno, i sostenitori, i leader e i contributori di OpenSSF hanno discusso lo stato attuale della sicurezza dell’open source e dettagliato, a lungo, i molteplici sforzi in corso per aiutare a migliorare lo stato delle cose esistente. OpenSSF è stato impegnato nel 2022 poiché ha intensificato uno sforzo di mobilitazione che prevede costerà 150 milioni di dollari per aiutare a proteggere il software open source. Lo sforzo di mobilitazione è solo uno della più ampia serie di iniziative che OpenSSF ha in corso.

“Siamo una specie di circo, lo dico con amore e ad alcuni di voi piace andare al circo”, ha detto Brian Behlendorf, direttore generale di OpenSSF in una sessione all’evento Open Source Summit. “Ci sono molte cose in corso a OpenSSF, molti team diversi e questo fa parte della nostra forza”.

I molteplici anelli della tenda del circo di sicurezza open source OpenSSF

Behlendorf ha identificato tre anelli chiave come obiettivi primari per OpenSSF: garantire la produzione di software open source, migliorare l’individuazione e la correzione delle vulnerabilità e ridurre il tempo necessario per correggere e rispondere ai problemi.

Questi obiettivi vengono raggiunti attraverso sforzi guidati da più gruppi di lavoro presso OpenSSF. I gruppi di lavoro attualmente attivi includono pratiche est, divulgazione di vulnerabilità, strumenti di sicurezza, identificazione delle minacce alla sicurezza, integrità della catena di approvvigionamento e protezione dei repository di software.

Lo sforzo di mobilitazione da 150 milioni di dollari annunciato a maggio è un’iniziativa che secondo Behlendorf riguarda il “portare il circo sulla strada”, nel tentativo di aiutare a fornire una serie concreta di iniziative per proteggere il software open source.

“Il grande tema del piano di mobilitazione non è stato come rendere più seri gli sviluppatori open source, ma come possiamo presentarci con l’aiuto?” disse Behlendorf. “Come possiamo aggiungere ai loro processi esistenti strumenti migliori, pagando perché le persone si presentino ai progetti e diciamo che siamo qui per aiutare in un modo o nell’altro.”

Progetti chiave

Nel corso della giornata, più relatori sono saliti sul podio per descrivere in dettaglio i vari sforzi associati a OpenSSF per aiutare a migliorare il software open source

Uno degli aspetti più basilari, ma meno ben compresi della sicurezza in generale, è come rivelare effettivamente una vulnerabilità di sicurezza. In una sessione durante la giornata di OpenSSF, Anne Bertucio, senior program manager di Google, ha delineato le migliori pratiche per gli sviluppatori open source su come divulgare responsabilmente le vulnerabilità. Bertucio ha indicato la OSS Vulnerability Guide di OpenSSF come un playbook che le organizzazioni possono utilizzare per aiutare con il processo.

Navin Srinivasan, ingegnere della sicurezza presso Endor Labs, ha delineato il progetto OpenSSF Scorecard, che ha le sue radici in progetti che precedono la creazione di OpenSSF. Il progetto scorecard assegna ai progetti open source un “punteggio” basato sull’adesione alle migliori pratiche per la sicurezza.

Un progetto correlato è l’Allstar Project, originariamente annunciato nell’agosto 2021. Jeff Mendoza, ingegnere della sicurezza di Google ha spiegato che mentre scorecard fornisce un punteggio, Allstar può aiutare gli utenti a migliorare il punteggio. Mendoza ha affermato che Allstar opera come un’applicazione GitHub che controlla continuamente le migliori pratiche di sicurezza sui repository di codice e può consentire agli utenti di risolvere rapidamente i problemi.

Il progetto Alpha Omega finanzia la sicurezza di Python ed Eclipse

Un altro progetto chiave nell’ambito di OpenSSF è lo sforzo di sicurezza della catena di approvvigionamento Alpha-Omega, iniziato a febbraio.

Durante l’OpenSSF Day, l’OpenSSF ha annunciato che tramite Alpha-Omega saranno forniti 800.000 dollari di finanziamenti per aiutare a proteggere le iniziative tecnologiche dalla Python Software Foundation e dalla Eclipse Foundation.

Python è uno dei linguaggi di programmazione open source più popolari in uso oggi. Il nuovo finanziamento verrà utilizzato per fornire supporto per competenze di sicurezza dedicate che formalizzeranno le migliori pratiche nei progetti Python Software Foundation.

La Eclipse Foundation sviluppa strumenti di sviluppo software, incluso Eclipse Integrated Developer Environment (IDE). I finanziamenti per Eclipse verranno utilizzati per aiutare l’organizzazione a implementare le migliori pratiche della catena di approvvigionamento per la sicurezza.

Inoltre, il progetto Secure Open Source Rewards (SOS.dev) avviato da Google ora si muoverà sotto gli auspici di OpenSSF. SOS.dev è un’iniziativa progettata per aiutare a premiare gli sviluppatori per l’implementazione delle migliori pratiche di sicurezza nei progetti di software open source.

La sicurezza è il prezzo dell’innovazione open source

Lo sforzo di mobilitazione di $ 150 milioni di OpenSSF è stato motivato in gran parte dall’emergere delle vulnerabilità open source Log4j che sono state divulgate a dicembre 2021. Quell’incidente ha contribuito a porre nuovamente l’attenzione sulle sfide della sicurezza open source.

Jamie Thomas, direttore generale della strategia e dello sviluppo di IBM, ha commentato che l’incidente di Log4j è stato un catalizzatore per coloro che sono coinvolti nel settore dell’open source per capire come essere più proattivi in ​​materia di sicurezza. Una sfida per molti con l’incidente di Log4 era che in alcuni casi spettava agli utenti finali capire se erano vulnerabili e quindi applicare le patch. Ha affermato che gli utenti finali non avrebbero dovuto preoccuparsi di questo e spetta a coloro che creano e forniscono software per supportarlo.

“È nostro obbligo assumerci il peso della sicurezza e assicurarci che il software sia progettato pensando alla sicurezza”, ha affermato Thomas.

Tra le molte grandi organizzazioni che sono state colpite da Log4j, c’era il gigante finanziario JPMoran Chase. Rao Kakkakula, direttore di JPMorgan Chase, ha commentato che in passato la sua organizzazione avrebbe potuto potenzialmente avere una reazione istintiva all’incidente di Log4J e ha semplicemente deciso di smettere di usare il software open source e costruire qualcosa per conto proprio. Non è quello che sta succedendo ora nel 2022.

Kakkakula ha affermato che i dirigenti di JPMorgan Chase ora chiedono come l’azienda possa assistere meglio la comunità open source per migliorare la sicurezza.

“La tendenza sta cambiando per essere più solidali piuttosto che incolpare le persone”, ha detto Kakkakula.

La necessità di JPMorgan di aiutare a migliorare la sicurezza open source non si basa su un obiettivo altruistico, ma piuttosto molto pratico. Kakkakula ha spiegato che ci sono oltre 53.000 sviluppatori in JPMorgan Chase. Ha osservato che la maggior parte delle applicazioni oggi fa uso di software open source per promuovere l’innovazione.

“Per innovare più velocemente, l’open source è la chiave secondo me perché non voglio reinventare la ruota”, ha detto Kakkakula. “Quindi la sicurezza è la chiave per abilitare effettivamente la tecnologia in modo da mantenere intatta la fiducia dei clienti”.

La missione di VentureBeat deve essere una piazza cittadina digitale per i decisori tecnici per acquisire conoscenze sulla tecnologia aziendale trasformativa e le transazioni. Saperne di più sull’appartenenza.