Das Weiße Haus schließt sich OpenSSF und der Linux Foundation bei der Sicherung von Open-Source-Software an

Die Sicherung der Lieferkette für Open-Source-Software ist eine große Sache. Im vergangenen Jahr erließ die Biden-Administration eine Durchführungsverordnung zur Verbesserung der Sicherheit der Softwarelieferkette. Dies kam nach dem Colonial Pipeline Ransomware-Angriff Gas- und Öllieferungen im gesamten Südosten und den USA eingestellt Angriff auf die Softwarelieferkette von SolarWinds. Das Sichern von Software hat höchste Priorität. Als Antwort, Die Open Source Security Foundation (OpenSSF) und Linux-Stiftung rosa zu diese Sicherheitsherausforderung. Jetzt fordern sie eine Finanzierung von 150 Millionen US-Dollar über einen Zeitraum von zwei Jahren, um zehn große Open-Source-Sicherheitsprobleme zu beheben.

Sie werden jeden Cent davon brauchen und mehr.

Die Regierung wird die Fracht für diese Änderungen nicht bezahlen. 30 Millionen US-Dollar wurden bereits von Amazon, Ericsson, Google, Intel, Microsoft und VMWare zugesagt. Weiteres ist bereits unterwegs. Amazon Web Services (AWS) hat bereits weitere 10 Millionen US-Dollar zugesagt.

Auf der Pressekonferenz im Weißen Haus sagte Brian Behlendorf, General Manager von OpenSSF: „Ich möchte klarstellen: Wir sind nicht hier, um Spenden von der Regierung zu sammeln erfolgreich.”

Hier sind die zehn Ziele, denen sich die Open-Source-Industrie verschrieben hat.

  1. Sicherheitsschulung: Bieten Sie grundlegende Schulungen und Zertifizierungen für sichere Softwareentwicklung für alle an.

  2. Risikobewertung: Richten Sie ein öffentliches, anbieterneutrales, auf objektiven Kennzahlen basierendes Risikobewertungs-Dashboard für die 10.000 (oder mehr) wichtigsten OSS-Komponenten ein.

  3. Digitale Signaturen: Beschleunigen Sie die Einführung digitaler Signaturen bei Softwareversionen.

  4. Speichersicherheit: Beseitigen Sie die Grundursachen vieler Schwachstellen durch den Ersatz von nicht speichersicheren Sprachen.

  5. Incident Response: Richten Sie das OpenSSF Open Source Security Incident Response Team ein, Sicherheitsexperten, die einspringen können, um Open Source-Projekte in kritischen Zeiten bei der Reaktion auf eine Schwachstelle zu unterstützen.

  6. Besseres Scannen: Beschleunigen Sie die Entdeckung neuer Schwachstellen durch Wartungspersonal und Experten durch fortschrittliche Sicherheitstools und fachkundige Anleitung.

  7. Code-Audits: Führen Sie einmal jährlich Code-Reviews (und alle erforderlichen Korrekturarbeiten) von bis zu 200 der kritischsten OSS-Komponenten durch.

  8. Datenfreigabe: Koordinieren Sie die branchenweite Datenfreigabe, um die Forschung zu verbessern, die hilft, die kritischsten OSS-Komponenten zu bestimmen.

  9. Software-Stückliste (SBOMs): Überall Verbessern Sie die SBOM-Tools und -Schulungen, um die Akzeptanz zu fördern.

  10. Verbesserte Lieferketten: Verbessern Sie die 10 kritischsten Open-Source-Software-Build-Systeme, Paketmanager und Vertriebssysteme mit besseren Sicherheitstools und Best Practices für die Lieferkette.

Ich werde darauf in späteren Geschichten näher eingehen, aber selbst auf den ersten Blick ist dies ein gewaltiges Unterfangen. Zum Beispiel weist C, der Kern des Linux-Kernels, dem wichtigsten aller Open-Source-Projekte, viele Schwachstellen auf. Während der Speicher sicher Die Rust-Sprache wird jetzt in Linux verwendet, es ist Jahre, Jahrzehnte entfernt, C in den über 27,8 Millionen Codezeilen von Linux zu ersetzen. Tatsächlich bezweifle ich, dass wir jemals den gesamten C-Code von Linux durch Rust ersetzen sehen werden.

Wir sind bereits kurz davor, einige der anderen zu lösen. Das Open-Source-Sicherheitsunternehmen Kettenschutz ruft an Softwareindustrie zur Standardisierung auf Signstore. Signstore ermöglicht Entwicklern das sichere Signieren von Softwareartefakten wie Release-Dateien, Container-Images, Binärdateien und Stücklisten. und mehr. Dieses Projekt der Linux Foundation wird von Google, Red Hat und der Purdue University unterstützt.

Sigstore hat mehrere großartige Funktionen. Diese beinhalten:

  • Das schlüssellose Signieren von Sigstore bietet eine großartige Entwicklererfahrung und macht eine mühsame Schlüsselverwaltung überflüssig.

  • Öffentliches Transparenzprotokoll von Sigstore (Rekor) und APIs bedeuten, dass Kubernetes-Kunden signierte Artefakte einfach überprüfen können.

  • Die Verwendung von Standards durch Sigstore, wie z. B. die Unterstützung aller Artefakte der Open Container Initiative (OCI) (einschließlich Container, Helm Charts, Konfigurationsdateien und Richtlinienpakete) und OpenID Connect (OIDC), bedeutet, dass es sich nahtlos in andere Tools und Dienste integrieren lässt.

  • Die aktive, herstellerneutrale Open-Source-Sigstore-Community gibt Zuversicht, dass das Projekt schnell angenommen und zu einem De-facto-Industriestandard werden wird.

In der Tat, Kubernetes hat Sigstore bereits übernommen. Kurz gesagt, es macht es einfach, eine sichere digitale Signatur für Ihren Code anzunehmen. Dann können die Programmierer, die Ihren Code verwenden, sicher sein, dass es wirklich der Code ist, den sie wollen und dem sie vertrauen können.

Das ist wichtig. Als Stephen Chin, Sicherheitsunternehmen für Softwareketten JFrog VP of Developer Relations, sagte: „Während Open Source schon immer als Keim für die Modernisierung angesehen wurde, hat die jüngste Zunahme von Angriffen auf die Software-Lieferkette gezeigt, dass wir einen härteren Prozess zur Validierung von Open-Source-Repositories brauchen.“

Natürlich wird es immer Bugs geben. Wie Behlendorf sagte: „Software wird nie perfekt sein. Die einzige Software, die keine Fehler hat, ist Software ohne Benutzer.“

Ähnliche Beiträge:

Leave a Comment

Your email address will not be published.