Aspectos destacados de la seguridad de OSS de la Cumbre de código abierto de América del Norte de 2022

Por Ashwin Ramaswami
El mes pasado, acabamos de concluir el Open Source Summit North America (OSS NA) 2022 de Linux Foundation, cuando los desarrolladores, tecnólogos y líderes comunitarios de la industria, la academia y el gobierno se reunieron del 21 al 24 de junio en Austin, Texas, para hablar sobre todas las cosas de código abierto. Los asistentes y oradores destacaron la innovación de código abierto y los esfuerzos para garantizar un ecosistema de código abierto sostenible. ¿Qué nos dijo la cumbre sobre el estado de la seguridad del OSS? Varias partes de la conferencia cubrieron diferentes aspectos de este tema: OpenSSF Day, Critical Software Summit, SupplyChainSecurityCon y Global Security Vulnerability Summit. En general, la cumbre demostró un mayor énfasis en la seguridad de código abierto como un esfuerzo de colaboración con varias partes interesadas. También se presentaron enfoques más ambiciosos e innovadores para abordar el problema de la seguridad del código abierto, incluida la colaboración, las herramientas y la capacitación. Finalmente, la cumbre enfatizó la importancia de que los usuarios de código abierto retribuyan a la comunidad y contribuyan a los proyectos de los que dependen. ¡Exploremos estas ideas con más detalle!

Haga clic en la lista en la parte superior derecha de este video para ver la lista de reproducción completa del Día OpenSSF (13 videos).

Contenidos

La seguridad de código abierto como un esfuerzo de la comunidad

La seguridad de código abierto no es solo un esfuerzo aislado de los usuarios o mantenedores de software de código abierto. Como ha demostrado OSS NA, lo que está en juego en la seguridad de código abierto lo ha convertido en un esfuerzo comunitario en el que una variedad de diferentes partes interesadas están interesadas y comienzan a participar. Como mencionó Todd Moore (IBM) en su discurso de apertura, incidentes como log4shell han hecho que la seguridad de código abierto sea una prioridad más grande para los gobiernos, y es importante que las partes interesadas existentes en código abierto, tanto usuarios como mantenedores, como comunidad trabajen juntos para lograr un mensaje cohesivo. al gobierno para articular las necesidades de nuestra comunidad y cómo estamos respondiendo a este desafío. Los oradores en un panel de discusión con la Iniciativa de Estado Cibernético del Consejo Atlántico y la Fundación de Seguridad de Código Abierto (OpenSSF) discutieron la cumbre de OpenSSF celebrada en Washington, DC el 12 y 13 de mayo, donde representantes de la industria y el gobierno se reunieron para desarrollar el software de código abierto. Plan de Movilización de Seguridad, un plan de $150 millones para asegurar mejor el ecosistema de código abierto. Un panel de discusión exploró cómo las grandes empresas están trabajando juntas para asegurar la cadena de suministro de código abierto, particularmente a través de la estructura de gobierno de OpenSSF.

Nuevos enfoques para la seguridad de código abierto

OSS NA presentó varias iniciativas para abordar problemas fundamentales de seguridad de código abierto, muchas de las cuales fueron particularmente ambiciosas e innovadoras. El proyecto Alpha-Omega de OpenSSF se anunció para abordar las vulnerabilidades de software para proyectos OSS que se encuentran en la cadena de suministro de software más crítica (alfa) y de extremo largo (omega). Una forma de resolver esto es la curación: crear un repositorio de paquetes comprobados y seguros. Los estándares siguen siendo importantes: Art Manion (CERT/CC) discutió la historia y el futuro del programa CVE, mientras que Jennings Aske (Nueva York -Presbyterian Hospital) y Melba López (IBM) discutieron la importancia de una Lista de materiales de software (SBOM) . Canalizaciones de CI/CD. David Wheeler (Linux Foundation) discutió la importancia de la educación en desarrollo de software seguro para garantizar la seguridad del software de fuente abierta. Los cursos como los Cursos básicos de desarrollo de software seguro de OpenSSF están disponibles para ayudar a los desarrolladores a aprender este tema.

Devolviendo a la comunidad

Los participantes de la cumbre reconocieron que la seguridad de código abierto es, en última instancia, una cuestión de comunidad, gobernanza y sostenibilidad. Es posible que los proyectos que no cuenten con los recursos o las estructuras de gobierno adecuados no puedan garantizar la seguridad de sus proyectos o aceptar la financiación adecuada para hacerlo. Steve Hendrick (Linux Foundation) y Matt Jarvis (Snyk) discutieron el lanzamiento del informe 2022 State of Open Source Security de Snyk y Linux Foundation. El informe encontró que el software de código abierto es a menudo una calle de un solo sentido donde los usuarios ven beneficios significativos con un costo o inversión mínimos. Se recomienda que las organizaciones completen el círculo y retribuyan a los proyectos de OSS que utilizan para proyectos de código abierto más grandes para cumplir con las expectativas de los usuarios. Ignorar la salud de la comunidad puede conducir a resultados técnicos a veces desastrosos para los proyectos principales de OSS. Sean Goggins (CHAOSS) discutió la relación entre la salud de la comunidad y la mitigación de la vulnerabilidad en proyectos de código abierto utilizando modelos métricos de los proyectos CHAOSS. Margaret Tucker y Justin Colannino (GitHub) discutieron el papel que juegan los registros de paquetes en la seguridad de código abierto, comenzando por articular algunos principios que equilibrarían la responsabilidad de seguridad y confiabilidad de estos registros con la libertad y la creatividad de los mantenedores de paquetes. Naveen Srinivasan (Endor Labs) y Laurent Simon (Google) estudiaron OpenSSF Scorecard para ayudar a analizar la seguridad de los proyectos de código abierto y mejorar su seguridad de manera proactiva. Amir Montazery (OSTIF) habló sobre los esfuerzos del Open Source Technology Improvement Fund para ayudar a los mantenedores de OSS a trabajar con profesionales de seguridad para mejorar la postura de seguridad de sus proyectos.

Conclusión

En resumen, las presentaciones y conversaciones en OSS Summit NA ayudan a pintar una imagen de cómo las partes interesadas clave en el ecosistema de software de código abierto (comunidades de OSS, industria, academia y gobierno) están pensando en conceptualizar problemas generales y los principales esfuerzos de seguridad de OSS. ¡Pero estas iniciativas y discusiones todavía tienen mucho espacio para aportes! Ya sea individualmente o a través de su institución, considere agregar su voz a esta discusión mientras continuamos apoyando a la comunidad de software de código abierto. Únase a un grupo de trabajo de OpenSSF u otra iniciativa, o contribuya a los proyectos de código abierto de los que depende. Los aspectos más destacados de la seguridad posterior al OSS de la Cumbre de código abierto de América del Norte de 2022 aparecieron primero en la Fundación Linux.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.