La sicurezza informatica rimane un tema caldo. Sempre più organizzazioni sono colpite da attacchi ransomware, le vulnerabilità critiche nel software open source sono all'ordine del giorno e vediamo industrie e governi riunirsi per discutere iniziative per migliorare la sicurezza del software.
Il governo degli Stati Uniti ha collaborato con l'industria tecnologica e le organizzazioni open source come la Linux Foundation e la Open Source Security Foundation per introdurre una serie di iniziative negli ultimi anni.
dei Ordine esecutivo della Casa Bianca sul miglioramento della sicurezza informatica della nazione ha certamente lanciato iniziative successive e definito i requisiti affinché le agenzie governative intervengano sulla sicurezza del software, e in particolare sulla sicurezza open source. un importante Incontro alla Casa Bianca con i leader dell'industria tecnologica hanno prodotto gruppi di lavoro attivi e, solo poche settimane dopo, hanno emesso il Piano di mobilitazione della sicurezza del software open source. Questo piano includeva 10 budget e flussi di lavoro progettati per affrontare le aree di sicurezza ad alta priorità nel software open source, dalla formazione e le firme digitali alle revisioni del codice per i principali progetti open source e l'emissione di un software BOM (SBOM).
La legge affronta direttamente le tre principali aree di interesse per migliorare la sicurezza open source: rilevamento e divulgazione delle vulnerabilità, SBOM e OSPO.
Una recente iniziativa del governo in materia di sicurezza open source è il Legge sulla sicurezza del software open source, legislazione bipartisan dei senatori statunitensi Gary Peters, D-Michigan, e Rob Portman, R-Ohio. I senatori Peters e il senatore Portman sono rispettivamente presidenti e membri di rango della commissione del Senato per la sicurezza interna e gli affari governativi. Erano nel Log4j Audizioni del Senato e questa legislazione è stata successivamente introdotta per migliorare la sicurezza open source e le migliori pratiche nel governo stabilendo i doveri del direttore della Cybersecurity and Infrastructure Security Agency (CISA).
Questo è un punto di svolta nella legge statunitense perché, per la prima volta, è specifica per la sicurezza del software open source. La legislazione riconosce l'importanza del software open source e riconosce che "un ecosistema di software open source sicuro, sano, vibrante e resiliente è fondamentale per garantire la sicurezza nazionale e la vitalità economica degli Stati Uniti". Infine, afferma che il governo federale dovrebbe svolgere un ruolo di supporto nel garantire la sicurezza a lungo termine del software open source.
L'Open Source Software Security Act definisce i compiti del direttore CISA e promuove la sensibilizzazione e l'impegno con la comunità open source per migliorare la sicurezza a lungo termine del software open source. Richiede la collaborazione con enti governativi federali, statali e locali, nonché con il settore privato e le organizzazioni open source, per compiti come la divulgazione delle vulnerabilità.
La legge si concentra sulla valutazione dei componenti critici del software open source e, per questo, richiede la promulgazione di un quadro per valutare il rischio dei componenti software. Il quadro fornirà indicazioni su:
- Identificazione di componenti open source.
- Garantire i processi del ciclo di vita dello sviluppo del software.
- Creazione di SBOM che forniscono un inventario di componenti, versioni e vulnerabilità.
Inoltre, il quadro richiederà informazioni sulle comunità di componenti open source e sul rischio di sfruttamento.
Questa valutazione basata su framework sarà implementata a livello federale e le SBOM dovranno mostrare livelli di rischio prioritari. Sarà implementato per mettere in sicurezza le infrastrutture critiche, a partire da un progetto pilota, i cui risultati saranno presentati dal direttore del CISA alle commissioni congressuali e poi al pubblico.
La sezione finale della legge definisce le linee guida per i chief information officer (CIO) nelle agenzie governative, che affermano che devono basarsi sulle migliori pratiche open source per “gestire e ridurre il rischio dell'utilizzo di software open source; e una guida per contribuire e rilasciare software open source. Queste best practice si riferiscono a una crescente tendenza globale delle organizzazioni che istituiscono sempre più Open Source Program Offices (OSPO) per guidare l'uso pratico e strategico del codice open source.
Come gli uffici di sicurezza guidati da CISO, gli OSPO vengono sempre più adottati da organizzazioni che consumano e contribuiscono al software open source. A partire da un programma pilota modellato sull'OSPO nel settore privato, l'obiettivo è sviluppare politiche e processi per i contributi del governo e le versioni di software open source. L'OSPO si impegnerà con le comunità open source e definirà i processi per rafforzare la posizione di sicurezza del software open source nel suo complesso.
La legge affronta direttamente le tre principali aree di interesse per migliorare la sicurezza open source: rilevamento e divulgazione delle vulnerabilità, SBOM e OSPO. È molto promettente vedere queste iniziative a livello governativo. Sebbene la legge non includa un mandato per il settore privato, le organizzazioni di tutti i settori dovrebbero prestare attenzione alla sicurezza open source attraverso strumenti e best practice, tra cui SBOM e OSPO.
Anche se la legislazione proposta dovrà passare al Senato e alla Camera dei Rappresentanti e ricevere la firma del presidente, si tratta di passi solidi per migliorare la sicurezza open source e la nostra sicurezza informatica complessiva.
