La ciberseguridad sigue siendo un tema candente. Cada vez más organizaciones se ven afectadas por ataques de ransomware, las vulnerabilidades críticas de software abierto están en las noticias y vemos que las industrias y los gobiernos se unen para discutir iniciativas para mejorar la seguridad del software.
El gobierno de EE. UU. ha estado trabajando con la industria tecnológica y organizaciones de código abierto como Linux Foundation y Open Source Security Foundation para presentar una serie de iniciativas en los últimos años.
los Orden ejecutiva de la Casa Blanca sobre la mejora de la ciberseguridad de la nación sin duda, puso en marcha iniciativas posteriores y definió requisitos para que las agencias gubernamentales tomaran medidas sobre la seguridad del software y, en particular, la seguridad de código abierto. Un importante Reunión en la Casa Blanca con líderes de la industria tecnológica produjeron grupos de trabajo activos, y solo unas pocas semanas después, emitieron el Plan de Movilización de Seguridad de Software de Código Abierto. Este plan incluía 10 flujos de trabajo y presupuesto diseñados para abordar áreas de seguridad de alta prioridad en el software de código abierto, desde capacitación y firmas digitales hasta revisiones de código para los principales proyectos de código abierto y la emisión de una lista de materiales de software (SBOM).
La Ley aborda directamente las tres principales áreas de enfoque para mejorar la seguridad de código abierto: detección y divulgación de vulnerabilidades, SBOM y OSPO.
Una iniciativa gubernamental reciente con respecto a la seguridad de fuente abierta es la Ley de seguridad del software de código abierto, una legislación bipartidista de los senadores estadounidenses Gary Peters, demócrata de Michigan, y Rob Portman, republicano de Ohio. Los senadores Peters y Portman son presidentes y miembros de alto rango del Comité Senatorial de Seguridad Nacional y Asuntos Gubernamentales, respectivamente. Estaban en el Audiencias del Senado de Log4j y posteriormente se introdujo esta legislación para mejorar la seguridad de código abierto y las mejores prácticas en el gobierno al establecer los deberes del director de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).
Este es un punto de inflexión en la legislación estadounidense, porque, por primera vez, es específica para la seguridad del software de código abierto. La legislación reconoce la importancia del software de código abierto y reconoce que “un ecosistema de software de código abierto seguro, saludable, vibrante y resistente es crucial para garantizar la seguridad nacional y la vitalidad económica de los Estados Unidos”. Finalmente, establece que el Gobierno Federal debe desempeñar un papel de apoyo para garantizar la seguridad a largo plazo del software de fuente abierta.
La Ley de seguridad del software de código abierto define las tareas del director de CISA y promueve la divulgación y el compromiso con la comunidad de código abierto para mejorar la seguridad a largo plazo del software de código abierto. Exige la colaboración con entidades gubernamentales federales, estatales y locales, así como con el sector privado y organizaciones de código abierto, para tareas como la divulgación de vulnerabilidades.
La ley se enfoca en la evaluación de componentes críticos de software de código abierto y, para eso, requiere la promulgación de un marco para evaluar el riesgo de los componentes de software. El marco proporcionará orientación sobre:
- Identificación de componentes de código abierto.
- Asegurar los procesos del ciclo de vida del desarrollo de software.
- Creación de SBOM que proporcionen un inventario de componentes, versiones y vulnerabilidades.
Además, el marco requerirá información sobre las comunidades de componentes de código abierto y el riesgo de explotación.
Esta evaluación basada en el marco se implementará a nivel federal y se requerirá que los SBOM muestren los niveles de riesgo priorizados. Se implementará para garantizar la infraestructura crítica, comenzando con un piloto, cuyos resultados serán presentados por el director de la CISA a los comités del Congreso y luego al público.
La sección final de la ley define la guía para los directores de información (CIO) en las agencias gubernamentales, que dice que debe basarse en las mejores prácticas de código abierto para “administrar y reducir el riesgo de usar software de código abierto; y orientación para contribuir y lanzar software de código abierto”. Estas mejores prácticas se relacionan con una tendencia global creciente en las organizaciones, que establecen cada vez más oficinas de programas de código abierto (OSPO) para impulsar el uso práctico y estratégico del código fuente abierto.
Al igual que las oficinas de seguridad dirigidas por un CISO, las OSPO están siendo adoptadas cada vez más por las organizaciones que consumen y contribuyen al software de código abierto. Comenzando con un programa piloto modelado a partir de OSPO en el sector privado, el objetivo es desarrollar políticas y procesos para contribuciones gubernamentales y lanzamientos de software de fuente abierta. OSPO interactuará con comunidades de código abierto y definirá procesos para reforzar la postura de seguridad del software de código abierto en su conjunto.
La ley aborda directamente las tres principales áreas de enfoque para mejorar la seguridad de código abierto: detección y divulgación de vulnerabilidades, SBOM y OSPO. Es muy prometedor ver estas iniciativas a nivel de gobierno. Aunque la ley no incluye un mandato para el sector privado, las organizaciones de todas las industrias deben prestar atención a la seguridad de código abierto a través de herramientas y mejores prácticas, incluidos SBOM y OSPO.
Si bien la legislación propuesta deberá aprobarse en el Senado y la Cámara de Representantes, y recibir la firma del presidente, estos son pasos sólidos para mejorar la seguridad de código abierto y nuestra seguridad cibernética en general.
