En första plan i sitt slag för att i stort sett ta itu med öppen källkod och säkerhet i leveranskedjan för programvara väntar på stöd från Vita huset.
Linux Foundation och Open Source Software Security Foundation (OpenSSF) samlade över 90 chefer från 37 företag och regeringsledare från NSC, ONCD, CISANIST, DOE och OMB på torsdag för att nå enighet om nyckelåtgärder att vidta för att förbättra motståndskraften och säkerheten hos programvara med öppen källkod.
En undergrupp av deltagande organisationer har tillsammans utlovat en första del av finansieringen för genomförandet av planen. Dessa företag är Amazon, Ericsson, Google, Intel, Microsoft och VMWare, som lovar över 30 miljoner dollar. I takt med att planen utvecklas ytterligare kommer mer finansiering att identifieras och arbetet kommer att påbörjas när man kommer överens om enskilda strömmar.
Open Source Software Security Summit II är en uppföljning av det första toppmötet som hölls i januari, ledd av Vita husets nationella säkerhetsråd. Det mötet, sammankallat av Linux Foundation och OpenSSF, kom på ettårsdagen av president Bidens verkställande order om att förbättra nationens cybersäkerhet.
Som en del av detta andra möte med öppen källkod i Vita huset uppmanade ledare för öppen källkod mjukvaruindustrin att standardisera Sigstore utvecklarverktyg och stöder en 10-punktsplan för att uppgradera öppen källkods kollektiva cybersäkerhetsförmåga och förbättra förtroendet för själva mjukvaran, enligt Dan Lorenc, VD och medgrundare av Kedjeskyddmedskapare av Sigstore.
“På ettårsdagen av president Bidens verkställande order, är vi idag här för att svara med en plan som är genomförbar, eftersom öppen källkod är en kritisk komponent i vår nationella säkerhet, och det är grundläggande för att miljarder dollar ska investeras i mjukvaruinnovation idag”, meddelade Jim Zemlin, verkställande direktör för Linux Foundation, under sin organisations presskonferens på torsdagen.
Trycker på stödkuvertet
De flesta större programvarupaket innehåller delar av programvara med öppen källkod, inklusive kod som används av den nationella säkerhetsgemenskapen och kritisk infrastruktur. Programvara med öppen källkod stöder innovationer för miljarder dollar men medför också unika utmaningar för hantering av cybersäkerhet i hela dess mjukvaruförsörjningskedjor.
“Denna plan representerar vår enhetliga röst och vår gemensamma uppmaning till handling. Den viktigaste uppgiften framför oss är ledarskap, säger Zemlin. “Det här är första gången jag har sett en plan och en branschvilja att främja en plan som kommer att fungera.”
Summit II-planen skisserar cirka 150 miljoner dollar i finansiering under två år för att snabbt utveckla väl genomarbetade lösningar på de 10 stora problem som planen identifierar. De 10 investeringsströmmarna inkluderar konkreta åtgärder för både mer omedelbara förbättringar och för att bygga starka grunder för en säkrare framtid.
“Det vi gör här tillsammans är att sammanföra en uppsättning idéer och principer om vad som är brutet där och vad vi kan göra för att fixa det. Planen vi har satt ihop representerar de 10 flaggorna i marken som bas för att komma igång. Vi är angelägna om att få ytterligare input och åtaganden som flyttar oss från plan till handling”, säger Brian Behlendorf, verkställande direktör för Open Source Security Foundation.
Öppen källkod Software Security Summit II i Washington DC, 12 maj 2022. [L/R] Sarah Novotny, ansvarig för öppen källkod på Microsoft; Jamie Thomas, Enterprise Security Executive på IBM; Brian Behlendorf, verkställande direktör för Open Source Security Foundation; Jim Zemlin, verkställande direktör för The Linux Foundation.
Markera planen
Den föreslagna planen bygger på tre huvudmål:
- Säkra öppen källkodssäkerhetsproduktion
- Förbättra upptäckt och åtgärdande av sårbarheter
- Förkorta responstiden för patchning av ekosystem
Den fullständiga planen innehåller element för att uppnå dessa mål. De inkluderar säkerhetsutbildning som ger en baslinje för utbildning och certifiering av mjukvaruutveckling. Ett annat element är att upprätta en offentlig, leverantörsneutral objektiv-metrics-baserad riskbedömningsinstrumentpanel för de 10 000 (eller fler) OSS-komponenterna.
Planen föreslår antagande av digitala signaturer på programvaruversioner och inrättande av OpenSSF Open Source Security Incident Response Team för att hjälpa projekt med öppen källkod under kritiska tider när de reagerar på en sårbarhet.
En annan plandetalj fokuserar på bättre kodskanning för att påskynda upptäckten av nya sårbarheter av underhållare och experter genom avancerade säkerhetsverktyg och expertvägledning.
Kodrevisioner utförda av tredje parts kodgranskning och eventuellt nödvändigt saneringsarbete skulle upptäcka upp till 200 av de mest kritiska OSS-komponenterna en gång per år.
Samordnad datadelning i hela branschen skulle förbättra forskningen som hjälper till att fastställa de mest kritiska OSS-komponenterna. Att tillhandahålla Software Bill of Materials (SBOM) överallt skulle förbättra verktyg och utbildning för att driva introduktion och förse byggsystem, pakethanterare och distributionssystem med bättre verktyg för säkerhet i försörjningskedjan och bästa praxis.
Förrådsfaktorn
Chainguard, som var med och skapade Sigstore-förvaret, avsätter ekonomiska resurser för den offentliga infrastrukturen och nätverket som föreslagits av OpenSSF och kommer att samarbeta med branschkollegor för att fördjupa arbetet med interoperabilitet för att säkerställa att Sigstores påverkan märks över hela mjukvaruförsörjningskedjan och varje hörn av programvaran. programvara ekosystem. Detta åtagande inkluderar minst 1 miljon dollar per år till stöd för Sigstore och ett löfte att driva det på sin egen nod.
Designad och byggd med underhållare för underhållare, den har redan blivit allmänt antagen av miljontals utvecklare över hela världen. Nu är det dags att formalisera sin roll som de facto-standarden för digitala signaturer inom mjukvaruutveckling, sa Lorenc.
“Vi vet vikten av interoperabilitet för att öka användningen av dessa kritiska verktyg på grund av vårt arbete med SLSA Framework och SBOM. Interoperabilitet är nyckeln till att säkra mjukvara genom hela försörjningskedjan”, sa han.
Relaterad support
Google tillkännagav på torsdagen att de skapar ett “underhållsteam med öppen källkod” med uppgift att förbättra säkerheten för kritiska projekt med öppen källkod.
Google presenterade också Google Cloud Dataset- och Open-Source Insights-projekt för att hjälpa utvecklare att bättre förstå strukturen och säkerheten för programvaran de använder.
“Denna datauppsättning ger tillgång till viktig information om programvarans leveranskedja för utvecklare, underhållare och konsumenter av öppen källkod”, enligt Google.
“Säkerhetsrisker kommer att fortsätta att sträcka sig över alla mjukvaruföretag och projekt med öppen källkod och endast ett branschomfattande engagemang som involverar en global gemenskap av utvecklare, regeringar och företag kan göra verkliga framsteg. Google kommer att fortsätta att spela vår roll för att påverka”, sa Eric Brewer, vice vd för infrastruktur på Google Cloud och Google Fellow, vid säkerhetstoppmötet.