[ad_1]
La sicurezza delle catene di fornitura del software è stata una delle principali priorità dell’amministrazione Biden. Nel maggio 2021 il presidente Joe Biden ha firmato un ordine esecutivo per migliorare la sicurezza informatica e da allora ha fatto progressi fornire indicazioni alle aziende su come raggiungere effettivamente questi obiettivi di sicurezza informatica.
Ora la Cybersecurity & Infrastructure Security Agency (CISA) federale degli Stati Uniti sta sviluppando questo lavoro con una nuova tabella di marcia specifica per proteggere il software open source (OSS).
“CISA riconosce gli immensi vantaggi del software open source, che consente agli sviluppatori di software di lavorare a un ritmo accelerato e promuove innovazioni e collaborazioni significative. Tenendo presenti questi vantaggi, questa tabella di marcia illustra come la CISA contribuirà a consentire l’utilizzo e lo sviluppo sicuri dell’OSS, sia all’interno che all’esterno del governo federale”, ha scritto CISA nel documento per la tabella di marcia.
La tabella di marcia definisce due tipi principali di vulnerabilità open source. Il primo riguarda gli effetti a cascata delle vulnerabilità per il software open source ampiamente utilizzato. Ha citato Log4Shell come esempio delle conseguenze diffuse che potrebbero derivare dalla compromissione del software open source.
Il secondo riguarda gli attacchi alla catena di fornitura su repository open source, che potrebbero comportare impatti negativi a valle, come la compromissione dell’account di uno sviluppatore e l’utilizzo da parte di un utente malintenzionato per commettere codice dannoso.
La tabella di marcia elenca quattro priorità chiave: stabilire il proprio ruolo nel supportare la sicurezza dell’open source, aumentare la visibilità sull’utilizzo e sui rischi dell’open source, ridurre i rischi per il governo federale e rafforzare l’ecosistema open source.
Secondo CISA, tutto ciò aiuterà l’azienda a realizzare la sua visione del software open source, in cui “ogni progetto OSS critico non è solo sicuro ma sostenibile e resiliente, supportato da una comunità sana, diversificata e vivace”.
Dan Lorenc, co-fondatore e CEO della società di sicurezza della catena di fornitura Paracatenaritiene che la CISA abbia svolto un buon lavoro segmentando i problemi in questo campo e stabilendo poi le priorità per affrontarli.
Ha anche detto che hanno fatto un buon lavoro nel riconoscere che il lavoro deve “svolgersi a monte, e i dipendenti CISA dovranno impegnarsi direttamente con le comunità”, anche se ha detto di rimanere ancora scettico su come andrà effettivamente, ma sta cercando di restare. ottimista.
Lorenc raccomanda al governo di impegnarsi per finanziare effettivamente progetti open source, che la tabella di marcia attualmente non affronta affatto.
“Il governo non ha una grande reputazione per quanto riguarda l’aiuto con codice diretto o altri contributi, ma ha la capacità di aiutare a finanziare il lavoro già svolto per raggiungere molti di questi elementi della roadmap, come la sicurezza della memoria, la correzione delle vulnerabilità e SBOM utensili”, ha detto Lorenc all’SD Times. “Il modello di collaborazione governativa qui non può essere del tipo “tu spingi, noi guidiamo”.
[ad_2]
Source link
