Seguridad de software de código abierto: convertir arena en hormigón

La semana pasada tuve el privilegio de asistir a la Cumbre de Seguridad de Software de Código Abierto II en Washington, DC. La Fundación Linux y OpenSSF reunieron a alrededor de 100 participantes de empresas, el gobierno de EE. UU. y la comunidad de código abierto para acordar un plan de acción para aumentar la seguridad del software de código abierto. Si tuviera que mirar la lista de participantes, probablemente se sorprendería del nivel de colaboración entre los competidores en este tema. Pero no es una sorpresa para la comunidad de código abierto. La seguridad es un excelente ejemplo de por qué las empresas participan en proyectos de software de código abierto. Estas son organizaciones que se unen para resolver un problema común para que puedan enfocarse en la innovación. Una pregunta que recibo a menudo cuando le digo a la gente dónde trabajo es: ¿Por qué las empresas con fines de lucro deberían participar en proyectos de código abierto? Hay muchas razones, por supuesto, pero todo se reduce a que las organizaciones se unan para resolver un problema común y puedan enfocarse en la innovación. Por ejemplo, los estudios de cine se unen para desarrollar software para almacenar archivos de video o la gestión del color, o la industria financiera para mejorar los escritorios de los minoristas, o las empresas web para admitir los lenguajes y las herramientas que hacen posible la web. Y estos son solo algunos ejemplos. La seguridad preocupa a todos y las soluciones benefician a todos. Como señaló un asistente a la cumbre, “Mis competidores directos están en el espacio, pero esta no es un área en la que competimos. Todos queremos proteger a nuestros clientes, accionistas y empleados. . . El 99 % del tiempo estamos trabajando en los mismos problemas y tratando de resolverlos de manera más inteligente”. El 99 % del tiempo estamos trabajando en los mismos problemas y tratando de resolverlos de manera más inteligente. Es mejor que todos compartan puntos débiles y soluciones, trabajando juntos hacia el objetivo común de un ecosistema más resistente. Ningún negocio es inmune, todos confían en múltiples paquetes de software de código abierto para ejecutar el software de su organización. No es de extrañar que los competidores estén colaborando en ello: la comunidad de código abierto lo está haciendo. Mientras nos reuníamos en DC, mi colega Mark Miller habló con los asistentes sobre sus expectativas y perspectivas sobre la reunión. Cuando se le preguntó qué espera lograr durante la cumbre de dos días, Brian Fox de Sonatype dijo: “El mundo exige una respuesta para mejorar el código abierto. Traemos al gobierno, proveedores, competidores, [and] ecosistemas de código abierto para ver qué podemos hacer juntos para elevar el nivel de la seguridad de código abierto». Reunimos al gobierno, proveedores, competidores, [and] Ecosistemas de código abierto para ver qué podemos hacer juntos para elevar el nivel de seguridad de código abierto. Otro participante hizo un dibujo que encuentro particularmente útil: “Recuerdo el viejo dicho, construimos Internet sobre arena. Lo pensé para enfatizar el hecho de que la arena es parte del concreto. Este proceso significa que tenemos la capacidad de respaldar gran parte de la base sobre la que construimos Internet, el código que desarrollamos. Es una oportunidad para mejorar lo que tenemos actualmente, que es una mezcla de arena y cemento. ¿Cómo ponemos todo esto en concreto?” Representantes de empresas y comunidades asistieron a la cumbre, al igual que los principales tomadores de decisiones del gobierno de EE. UU. Los altos funcionarios del gobierno estuvieron allí todo el día, asistieron a la reunión y escucharon las discusiones. Su participación fue notable para mí. He trabajado a nivel político dentro y alrededor del gobierno durante 25 años, y es más que habitual que los funcionarios del gobierno sean invitados a hablar, vengan y hablen y luego se vayan inmediatamente después de hacer sus comentarios. Verlos allí y comprometerse un año después de implementar la Orden Ejecutiva para Mejorar la Seguridad Cibernética de la Nación indica la importancia que le dan a resolver este problema y el respeto que tienen por el grupo que felicita la semana pasada a Anne Neuberger, su equipo y otros que han se unieron de todo el gobierno de EE.UU. Al final del primer día, se llegó a un acuerdo sobre un plan que consta de 10 iniciativas clave: Capacitación en seguridad Brindar a todos capacitación básica y certificación en desarrollo de software seguro. Evaluación de riesgos Configure un panel de evaluación de riesgos basado en métricas objetivas, independientes del proveedor y público para los 10 000 (o más) componentes principales del OSS. Firmas digitales Acelere la adopción de firmas digitales en las versiones de software Reemplace los lenguajes seguros para la memoria. Escaneo Acelere el descubrimiento de nuevas vulnerabilidades por parte de mantenedores y expertos con herramientas de seguridad avanzadas y orientación experta Auditorías de código Realice revisiones de código (y cualquier trabajo de corrección necesario) de hasta 200 de los componentes de OSS más críticos una vez al año. Intercambio de datos Coordine el intercambio de datos en toda la industria para mejorar la investigación que ayude a determinar los componentes más críticos del OSS. SBOM en todas partes Mejore las herramientas y la capacitación de SBOM para impulsar la adopción. Cadenas de suministro mejoradas Mejore los 10 sistemas de compilación OSS, administradores de paquetes y sistemas de distribución más críticos con mejores herramientas de seguridad y mejores prácticas de la cadena de suministro. El documento completo del Plan de Movilización de Seguridad del Software de Código Abierto está disponible para que lo lea y descargue. Por supuesto, un plan no vale mucho sin acción. Afortunadamente, las organizaciones invierten recursos. El día de la entrega, ya se habían comprometido 30 millones de dólares para implementar el plan. Las organizaciones también están proporcionando personal para respaldar el proyecto: Google anunció su «nuevo ‘Equipo de mantenimiento de código abierto’, un equipo dedicado de ingenieros de Google que trabajará en estrecha colaboración con los mantenedores ascendentes para mejorar la seguridad de los proyectos críticos de código abierto». Amazon Web Services ha comprometido $10 millones en financiamiento además de recursos técnicos. “Continuaremos y aumentaremos nuestros compromisos existentes para contribuciones técnicas directas a proyectos críticos de código abierto. Intel aumenta las inversiones: “Intel tiene una larga historia de liderazgo e inversión en software de código abierto y computación segura. En los últimos cinco años, Intel ha invertido más de $250 millones en mejorar la seguridad del software de fuente abierta. A medida que nos acercamos a la siguiente fase de las iniciativas del ecosistema abierto, Intel está ampliando su compromiso de apoyar a la Fundación Linux en porcentajes de dos dígitos». la estrategia tecnológica de casi todas las empresas. La colaboración y la inversión en todo el ecosistema fortalecerán y mantendrán a todos a salvo”. Estas inversiones marcan el inicio de una iniciativa para recaudar $150 millones para implementar el proyecto. La reunión y el plan de la semana pasada marcan el comienzo de una nueva y crucial puesta en común de recursos (conocimiento, recursos humanos y dinero) para fortalecer aún más la infraestructura digital mundial, todo construido sobre una base de software de código abierto. Es el siguiente paso (bueno, varios pasos en realidad) en el viaje. Si desea unirse al esfuerzo, comience con OpenSSF.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.