Komentář: Po léta se snažíme řešit zabezpečení na úrovni společnosti nebo organizace. Zdá se, že nový projekt Alpha-Omega zaujímá skutečně celoodvětvový přístup, a to je slibné.
Bezpečnost byla vždy nesexy investicí, která má tendenci dávat větší smysl při zpětném pohledu než při plánování. V poslední době, kdy se narušení zabezpečení stalo každodenní normou spíše než příležitostnou výjimkou, začaly společnosti a projekty s otevřeným zdrojovým kódem učinit zabezpečení prioritou, i když v našich procesech vývoje softwaru pravděpodobně stále chybí.
Pokrytí zabezpečení, které je nutné přečíst
Problémem tohoto přístupu je, že zůstává atomistický, roztříštěný. Jak bylo uvedeno v nedávném článku ZDNet:„Stav zabezpečení je v tomto odvětví značně nerovnoměrný, s docela dobrým zabezpečením u některých předních dodavatelů, ale drtivá většina... postrádá základní bezpečnostní investice.“ To se míjí účinkem. Bezpečnost není něco, co jedna společnost nebo projekt může udělat sám. Je to ze své podstaty záležitost komunity.
Proto mě některé nedávné zprávy od Linux Foundation (LF) povzbuzují… právě proto, že se netýkají Linux Foundation. Nebo ne výhradně.
Novinky za novinkami
Byly oznámeny dvě věci. Za prvé, Open Source Security Foundation (OpenSSF), která působí pod LF, přidala do svého seznamu dalších 20 členů. Co tito členové dělají? Zdánlivě „pomáhají identifikovat a opravovat zranitelnosti v softwaru s otevřeným zdrojovým kódem a vyvíjet vylepšené nástroje, školení, výzkum, osvědčené postupy a postupy odhalování zranitelnosti“. V praxi mnohé z těchto společností jednoduše chtějí dát najevo svůj zájem o bezpečnost, ale od takových organizací také pochází skutečné dobro.
Předpokládal bych například, že zatímco OpenSSF nyní čítá celkem 60 členů, pravděpodobnou realitou je, že několik klíčových členů (v tomto případě Google a Microsoft) pověří vývojáře, aby úzce spolupracovali s ostatními členy OpenSSF, aby se zlepšilo zabezpečení konkrétních projekty s otevřeným zdrojovým kódem, aby se zabránilo scénářům, jako je chyba zabezpečení Log4j.
Jinými slovy, některé organizace si mohou dovolit investovat do bezpečnosti a mají na to odborné zdroje. Všichni mají prospěch, když tyto informace sdílí otevřeně na komunitním fóru.
Druhý aspekt oznámení LF je pravděpodobně ještě zajímavější. OpenSSF také oznámila Alpha-Omega Project, projekt, který se pokouší identifikovat všechny nejkritičtější, základní open-source softwarové knihovny a balíčky na světě a auditovat je a následně je podle potřeby podporovat. Z vydání:
„Projekt zlepšuje globální zabezpečení dodavatelského řetězce OSS tím, že spolupracuje se správci projektu na systematickém hledání nových, dosud neobjevených zranitelností v otevřeném zdrojovém kódu a jejich opravě. „Alpha“ bude spolupracovat se správci nejkritičtějších open source projektů, aby jim pomohla identifikovat a opravit slabá místa zabezpečení a zlepšit jejich stav zabezpečení. „Omega“ identifikuje nejméně 10 000 široce nasazených projektů OSS, kde může použít automatizovanou bezpečnostní analýzu, bodování a pokyny k nápravě jejich komunitám správců open source.“
Tento soupis projektů s otevřeným zdrojovým kódem, financovaný počátečními 5 miliony dolarů od společností Microsoft a Google a podporovaný Harvardskou univerzitou a LF, pomáhá společnostem při sestavování jejich softwarového kusovníku, jak to nařizuje výkonný příkaz USA. Jak poznamenali autoři sčítání lidu, seznamy, které sestavili, „představují náš nejlepší odhad toho, které balíčky FOSS [svobodný a open source software] jsou nejrozšířenějšími aplikacemi, s ohledem na časové limity a širokou, ale nikoli vyčerpávající , data, která jsme agregovali.“
Je to působivý začátek tolik potřebné práce a nezaměřuje se na softwarové projekty žádné konkrétní organizace.
A to jsou skutečné zprávy. Ne prováděcí nařízení. Nikoli zapojení Googlu/Microsoftu. Dokonce ani LF řešící meziodvětvové iniciativy. Ne, skutečnou zprávou je, že bezpečnost je větší než jakákoli obchodní organizace, jako je LF. Těch 10 000 open-source projektů, které LF pomáhá katalogizovat? Většina nesedí pod dohledem LF. Nebo Google. Nebo od Microsoftu. Nebo [vložte název libovolné organizace].
Bezpečnost se týká každého, ale snažili jsme se to řešit po částech. Z příspěvku napsaného vedoucím projektu Alpha-Omega a profesorem z Harvardu Frankem Naglem vyplývá, že ke zlepšení bezpečnostní pozice softwaru s otevřeným zdrojovým kódem napříč projekty je potřeba hodně práce. Například neexistuje žádné standardní schéma pojmenování napříč projekty s otevřeným zdrojovým kódem, což vede k nejasnostem:„Neexistuje žádný centralizovaný orgán, který by koordinoval názvy komponent FOSS, a proto může existovat více komponent, které mají stejný název, ale nejsou toutéž komponentou.“ Ukázali jsme, že vývojáři s otevřeným zdrojovým kódem dokážou opravit problémy rychle, když se objeví (možná rychleji než kdokoli jiný), ale dokážeme se spojit a strukturovat projekty podobně, abychom se vyhnuli některým zbytečným bezpečnostním problémům?
Alpha-Omega je skvělým začátkem pro řešení takových problémů napříč průmyslem, spíše než po částech. Po Heartbleed jsme měli podobné ambice řešit naše bezpečnostní problémy. Doufejme, že tentokrát to bude opravdu jiné… a společné.
Zveřejnění:Pracuji pro MongoDB, ale názory zde vyjádřené jsou mé .
Zdrojový odkaz