Белый дом публикует отчет о защите программного обеспечения с открытым исходным кодом
Open SourceКибербезопасностьОтчеты

Белый дом публикует отчет о защите программного обеспечения с открытым исходным кодом

Отчет за конец года освещает работу в рамках Инициативы по обеспечению безопасности программного обеспечения с открытым исходным кодом и цели на будущее.

Белый дом заявил, что добивается прогресса в своей работе по повышению безопасности программного обеспечения с открытым исходным кодом, выпустив отчет на конец года, в котором подробно описываются усилия по прозрачному и совместному процессу разработки программного обеспечения, который затрагивает практически все типы программного обеспечения.

Уязвимость Log4Shell, обнаруженная в 2021 году, обнажила как повсеместное распространение открытого исходного кода, так и потенциальную опасность при отсутствии надлежащей защиты. Хотя программное обеспечение с открытым исходным кодом по своей сути не более уязвимо, чем проприетарный код, распределенный характер разработки и использования такого программного обеспечения может иметь широкомасштабные последствия, если оно уязвимо.

“Почти каждое программное приложение, веб—сайт, мобильное устройство и устройство Интернета вещей, включая те, которые используются малыми предприятиями, федеральным правительством и сообществом национальной безопасности, включает программное обеспечение с открытым исходным кодом для обеспечения и масштабирования процессов быстрой разработки приложений”, — отметила администрация в отчете во вторник.

Эти уникальные характеристики побуждают администрацию отстаивать защиту программного обеспечения с открытым исходным кодом в национальной стратегии кибербезопасности и последующем плане реализации в рамках Инициативы по безопасности программного обеспечения с открытым исходным кодом (OS3I), межведомственной рабочей группы.

В отчете за конец года рассматриваются четыре области, на которых администрация сосредоточила внимание в прошлом году в рамках OS3I: объединение мнений федерального правительства по безопасности программного обеспечения с открытым исходным кодом, разработка стратегического подхода к обеспечению безопасности такого программного обеспечения, поощрение долгосрочных инвестиций, а также привлечение и укрепление доверия с сообществом разработчиков с открытым исходным кодом.

Согласно отчету, одним из основных препятствий является продвижение лучших практик безопасной разработки в проектах с открытым исходным кодом, поскольку весь процесс часто децентрализован и добровольен. В отчете об инциденте с Log4Shell, подготовленном Советом по проверке кибербезопасности, отмечается, что проекты с открытым исходным кодом “как правило, не имеют специальных скоординированных групп по раскрытию уязвимостей и реагированию, которые исследуют коренные причины обнаруженных уязвимостей и работают над их устранением”.

Еще одна проблема заключается в том, что из-за повсеместного распространения открытого исходного кода многие компании даже не знают, что у них есть, когда обнаруживается серьезная уязвимость или когда они подвергаются эксплуатации с нулевым днем, отмечается в отчете. Даже сейчас, спустя годы, все еще обнаруживаются версии уязвимого программного обеспечения Apache Log4j. Кроме того, компании часто получают прибыль от работы этих добровольных проектов, не внося обратного вклада ни за счет других ресурсов, в результате чего ключевые проекты не получают достаточных ресурсов.

“Усилиям по обеспечению безопасности программного обеспечения с открытым исходным кодом препятствует ряд факторов, включая решения внутри компаний резервировать функции, связанные с безопасностью, для коммерческих продуктов, построенных на ПО с открытым исходным кодом, непоследовательный вклад корпоративных потребителей в поддержку проектов программного обеспечения с открытым исходным кодом, а также децентрализованное владение и разнообразные процессы разработки проектов с открытым исходным кодом, при этом вклады поступают от организаций с различными ресурсами, возможностями и приоритетами”, – говорится в отчете.

В прошлом году Национальный научный фонд написал “письмо дорогому коллеге”, поощряющее предложения по обеспечению безопасности экосистемы программного обеспечения с открытым исходным кодом. Агентство кибербезопасности и инфраструктурной безопасности в сентябре опубликовало свою собственную дорожную карту по обеспечению безопасности с открытым исходным кодом в федеральном правительстве и более широкой экосистеме. CISA уделяет большое внимание продвижению обоих безопасных для памяти языков, чтобы резко сократить количество уязвимостей и спецификации программного обеспечения.

Администрация также опубликовала запрос о предоставлении информации о безопасности программного обеспечения с открытым исходным кодом, запрашивая мнения экспертов по обеспечению безопасности программного обеспечения с открытым исходным кодом

В отчете Белого дома отмечается, что OS3I будет продолжена в 2024 году путем “подведения итогов исследований и информации, представленных через RFI, для информирования будущих рабочих потоков OS3I и приоритетных действий”.

Кроме того, администрация “продолжит инвестировать в разработку безопасного программного обеспечения, включая языки, обеспечивающие сохранность памяти, а также методы разработки программного обеспечения, фреймворки и инструменты тестирования”.

OS3I также продолжит работу с сообществом, чтобы “выявлять и выделять политические решения, которые повышают безопасность экосистемы программного обеспечения с открытым исходным кодом”.

Источник https://cyberscoop.com/white-house-securing-open-source-software/

admin
Author: admin