Лидеры Open Source настаивают на мерах безопасности WH

 
 

Первый в своем роде план по широкому обеспечению безопасности цепочки поставок с открытым исходным кодом и программного обеспечения ждет поддержки Белого дома.

Linux Foundation и Open Source Software Security Foundation (OpenSSF) собрали в четверг более 90 руководителей из 37 компаний и государственных деятелей из NSC, ONCD, CISA, NIST, DOE и OMB, чтобы достичь консенсуса по ключевым действиям, которые необходимо предпринять для повысить отказоустойчивость и безопасность программного обеспечения с открытым исходным кодом.

Подгруппа участвующих организаций коллективно обязалась выделить первоначальный транш финансирования для реализации плана. Этими компаниями являются Amazon, Ericsson, Google, Intel, Microsoft и VMWare, обещающие более 30 миллионов долларов. По мере дальнейшего развития плана будет определяться дополнительное финансирование, и работа начнется по мере согласования отдельных потоков.

Второй саммит по безопасности программного обеспечения с открытым исходным кодом является продолжением первого саммита, проведенного в январе под руководством Совета национальной безопасности Белого дома. Эта встреча, организованная Linux Foundation и OpenSSF, была приурочена к годовщине принятия указа президента Байдена об улучшении национальной кибербезопасности.

В рамках этого второго саммита по безопасности открытого исходного кода в Белом доме лидеры открытого исходного кода призвали индустрию программного обеспечения стандартизировать инструменты разработчика Sigstore и поддержать план из 10 пунктов по повышению коллективной устойчивости к кибербезопасности открытого исходного кода и повышению доверия к самому программному обеспечению. Дэн Лоренц, генеральный директор и соучредитель Chainguard, соучредитель Sigstore.

«В годовщину указа президента Байдена сегодня мы собрались здесь, чтобы отреагировать планом, который является действенным, потому что открытый исходный код является важнейшим компонентом нашей национальной безопасности и имеет основополагающее значение для инвестиций миллиардов долларов в инновации в области программного обеспечения. сегодня», — заявил Джим Землин, исполнительный директор Linux Foundation, во время пресс-конференции своей организации в четверг.

Проталкивание конверта поддержки

Большинство основных пакетов программного обеспечения содержат элементы программного обеспечения с открытым исходным кодом, включая код, используемый сообществом национальной безопасности и критической инфраструктурой. Программное обеспечение с открытым исходным кодом поддерживает инновации на миллиарды долларов, но также сопряжено с уникальными проблемами для управления кибербезопасностью в цепочках поставок программного обеспечения.

«Этот план представляет собой наш единый голос и наш общий призыв к действию. Перед нами стоит самая важная задача — лидерство», — сказал Землян. «Это первый раз, когда я вижу план и желание отрасли разработать план, который будет работать».

План Summit II предусматривает выделение около 150 миллионов долларов в течение двух лет для быстрого продвижения хорошо проверенных решений 10 основных проблем, указанных в плане. 10 потоков инвестиций включают в себя конкретные шаги как для немедленных улучшений, так и для создания прочного фундамента для более безопасного будущего.

«То, что мы делаем здесь вместе, — это объединение набора идей и принципов того, что там нарушено, и того, что мы можем сделать, чтобы это исправить. План, который мы составили, представляет собой 10 флажков в земле в качестве основы для начала работы. Мы с нетерпением ждем дальнейших предложений и обязательств, которые переведут нас от плана к действию», — сказал Брайан Белендорф, исполнительный директор Open Source Security Foundation.

Выделение плана

Предлагаемый план основан на трех основных целях:

  1. Обеспечение безопасности производства с открытым исходным кодом
  2. Улучшение обнаружения и устранения уязвимостей
  3. Сокращение времени отклика на исправление экосистемы

Полный план содержит элементы для достижения этих целей. Они включают в себя обучение безопасности, которое обеспечивает основу для обучения и сертификации разработчиков программного обеспечения. Еще одним элементом является создание общедоступной, независимой от поставщика панели оценки рисков на основе объективных показателей для 10 000 (или более) основных компонентов OSS.

План предлагает внедрение цифровых подписей в выпусках программного обеспечения и создание группы реагирования на инциденты безопасности с открытым исходным кодом OpenSSF для оказания помощи проектам с открытым исходным кодом в критические моменты при реагировании на уязвимость.

Еще одна деталь плана направлена ​​на улучшение сканирования кода для ускорения обнаружения новых уязвимостей сопровождающими и экспертами с помощью передовых инструментов безопасности и рекомендаций экспертов.

Аудит кода, проводимый сторонними экспертами, и любые необходимые работы по исправлению выявляют до 200 наиболее важных компонентов OSS один раз в год.

Скоординированный обмен данными в масштабах всей отрасли улучшит исследования, помогающие определить наиболее важные компоненты OSS. Повсеместное предоставление спецификаций программного обеспечения (SBOM) улучшит инструменты и обучение для стимулирования внедрения и обеспечит системы сборки, менеджеры пакетов и системы распространения лучшими инструментами безопасности цепочки поставок и лучшими практиками.

Складской фактор

Chainguard, соавтор репозитория Sigstore, выделяет финансовые ресурсы на общедоступную инфраструктуру и сеть, предложенные OpenSSF, и будет сотрудничать с коллегами по отрасли, чтобы углубить работу над функциональной совместимостью, чтобы влияние Sigstore ощущалось во всей цепочке поставок программного обеспечения и в каждом уголке. программная экосистема. Это обязательство включает в себя как минимум 1 миллион долларов в год на поддержку Sigstore и обязательство запустить его на собственном узле.

Разработанный и созданный сопровождающими для сопровождающих, он уже получил широкое распространение среди миллионов разработчиков по всему миру. По словам Лоренца, настало время формализовать его роль стандарта де-факто для цифровых подписей в разработке программного обеспечения.

«Мы знаем о важности функциональной совместимости для расширения внедрения этих важнейших инструментов благодаря нашей работе над SLSA Framework и SBOM. Функциональная совместимость — это ключевой элемент защиты программного обеспечения на протяжении всей цепочки поставок», — сказал он.

Связанная поддержка

Google в четверг объявила, что создает «команду по обслуживанию открытого исходного кода», которой поручено повысить безопасность критически важных проектов с открытым исходным кодом.

Google также представила проекты Google Cloud Dataset и Open-Source Insights, которые помогут разработчикам лучше понять структуру и безопасность используемого ими программного обеспечения.

«Этот набор данных обеспечивает доступ к критически важной информации о цепочке поставок программного обеспечения для разработчиков, специалистов по сопровождению и потребителей программного обеспечения с открытым исходным кодом», — говорится в сообщении Google.

«Риски безопасности будут по-прежнему охватывать все компании-разработчики программного обеспечения и проекты с открытым исходным кодом, и только общеотраслевое обязательство с участием глобального сообщества разработчиков, правительств и бизнеса может добиться реального прогресса. Google будет продолжать играть свою роль, чтобы оказывать влияние», — сказал Эрик Брюэр, вице-президент по инфраструктуре Google Cloud и научный сотрудник Google, на конференции по безопасности.

Делитесь нашими материалами с друзьями!

 

 

Заказать разработку сайта

3D-печать5GABC-анализAndroidAppleAppStoreAsusCall-центрDellDrupalFacebookFMCGGoogleHuaweiInstagramiPhoneLinkedInLinuxMagentoMicrosoftNvidiaOpenCartPlayStationPOS материалPPC-специалистRuTubeSamsungSEO-услугиSMMSnapchatSonyStarlinkTikTokTwitterUbuntuUp-saleViasatVPNWhatsAppWindowsWordPressXiaomiYouTubeZoomАвдеевкаАктивные продажиАкцияАлександровск ЛНРАлмазнаяАлчевскАмвросиевкаАнализ конкурентовАнализ продажАнтимерчандайзингАнтрацитАртемовскАртемовск ЛНРАссортиментная политикаБелгородБелицкоеБелозерскоеБердянскБизнес-идеи (стартапы)БрендБрянкаБукингВахрушевоВендорВикипедияВирусная рекламаВирусный маркетингВладивостокВнутренние продажиВнутренний маркетингВолгоградВолновахаВоронежГорловкаГорнякГорскоеДебальцевоДебиторкаДебиторская задолженностьДезинтермедитацияДзержинскДивизионная система управленияДизайнДимитровДирект-маркетингДисконтДистрибьюторДистрибьюцияДобропольеДокучаевскДружковкаЕкатеринбургЕнакиевоЖдановкаЗапорожьеЗимогорьеЗолотоеЗоринскЗугрэсИжевскИловайскИрминоКазаньКалининградКировскКировскоеКомсомольскоеКонстантиновкаКонтент-маркетингКонтент-планКопирайтингКраматорскКрасноармейскКрасногоровкаКраснодарКраснодонКраснопартизанскКрасный ЛиманКрасный ЛучКременнаяКураховоКурскЛисичанскЛуганскЛутугиноМакеевкаМариупольМаркетингМаркетинговая информацияМаркетинговые исследованияМаркетинговый каналМаркетинг услугМаркетологМарьинкаМедиаМелекиноМелитопольМенеджментМерчандайзерМерчандайзингМиусинскМолодогвардейскМоскваМоспиноНижний НовгородНиколаевНиколаевкаНишевой маркетингНовоазовскНовогродовкаНоводружескНовосибирскНумерическая дистрибьюцияОдессаОмскОтдел маркетингаПартизанский маркетингПервомайскПеревальскПетровскоеПопаснаяПравило ПаретоПривольеПрогнозирование продажПродвижение сайтов в ДонецкеПромоПромоушнПрямой маркетингРабота для маркетологаРабота для студентаРаспродажаРегиональные продажиРекламаРеклама на асфальтеРемаркетингРетро-бонусРибейтРитейлРовенькиРодинскоеРостов-на-ДонуРубежноеСамараСанкт-ПетербургСаратовСватовоСвердловскСветлодарскСвятогорскСевастопольСеверодонецкСеверскСедовоСейлз промоушнСелидовоСимферопольСинергияСколковоСлавянскСнежноеСоздание сайтов в ДонецкеСоледарСоциальные сетиСочиСтаробельскСтаробешевоСтахановСтимулирование сбытаСуходольскСчастьеТелемаркетингТельмановоТираспольТорговый представительТорезТрейд маркетингТрейд промоушнТюменьУглегорскУгледарУкраинскХабаровскХарцызскХерсонХостингЦелевая аудиторияЧасов ЯрЧелябинскШахтерскЮжно-СахалинскЮнокоммунаровскЯндексЯсиноватая