0
0
A Linux Foundation e a Open Source Software Security Foundation, com a contribuição fornecida por executivos de 37 empresas e muitos líderes do governo dos EUA, entregaram um plano de 10 pontos para abordar amplamente a segurança da cadeia de suprimentos de código aberto e software, garantindo a produção de segurança de código aberto, melhorando a descoberta e a remediação de vulnerabilidades e encurtando o tempo de resposta de patches do ecossistema.
Os pontos então podem ser resumidos assim:
1. Educação em Segurança – Ofereça educação e certificação de desenvolvimento de software seguro de linha de base para todos.
2. Avaliação de risco – Estabeleça um painel de avaliação de risco público, neutro e baseado em métricas objetivas para os 10.000 (ou mais) componentes oss .ou mais.
3. Assinaturas Digitais – Acelere a adoção de assinaturas digitais em lançamentos de software.
4. Segurança da memória – Elimine as causas básicas de muitas vulnerabilidades através da substituição de linguagens não seguras à memória.
5. Resposta a incidentes – Estabeleça a Equipe de Resposta a Incidentes de Segurança de Código Aberto do OpenSSF, especialistas em segurança que podem intervir para ajudar projetos de código aberto durante momentos críticos ao responder a uma vulnerabilidade.
6. Melhor Digitalização – Acelere a descoberta de novas vulnerabilidades por mantenedores e especialistas por meio de ferramentas avançadas de segurança e orientação especializada.
7. Auditorias de código – Realize revisões de código de terceiros (e qualquer trabalho de remediação necessário) de até 200 dos componentes oss mais críticos uma vez por ano.
8. Compartilhamento de dados – Coordene o compartilhamento de dados em todo o setor para melhorar a pesquisa que ajuda a determinar os componentes oss mais críticos.
9. SBOMs Em todos os lugares – Melhore a ferramenta e o treinamento do SBOM para impulsionar a adoção.
10. Cadeias de Suprimentos Aprimoradas – Aprimorar os 10 sistemas de construção do OSS mais críticos, gerentes de pacotes e sistemas de distribuição com melhores ferramentas de segurança da cadeia de suprimentos e práticas recomendadas.
Um plano de segurança de código aberto executado pelas organizações participantes
O plano descreve aproximadamente US$ 150 milhões de financiamento ao longo de dois anos para avançar rapidamente soluções bem avaliadas para os dez grandes problemas que o plano identifica. Os 10 fluxos de investimento incluem etapas concretas de ação para melhorias mais imediatas e construção de bases fortes para um futuro mais seguro.
Um subconjunto de organizações participantes se reuniu para comprometer coletivamente uma parcela inicial de financiamento para a implementação do plano. Essas empresas são Amazon, Ericsson, Google, Intel, Microsoft e VMWare, prometendo mais de US$ 30 milhões. À medida que o plano evolui, mais financiamento será identificado, e o trabalho começará à medida que os fluxos individuais forem acordados.
Isso se baseia nos investimentos existentes que os membros da comunidade OpenSSF fazem em software de código aberto. Uma pesquisa informal de suas partes interessadas indica que eles gastam mais de US$ 110 milhões e empregam quase cem funcionários equivalentes em tempo integral focados em nada além de proteger o cenário de software de código aberto. Esse plano se soma a esses investimentos.
“O que estamos fazendo aqui juntos é convergir um conjunto de ideias e princípios do que está quebrado lá fora e o que podemos fazer para corrigi-lo”, observou Brian Behlendorf, diretor executivo do OpenSSF. “O plano que montamos representa as 10 bandeiras no chão como base para começar. Estamos ansiosos para obter mais informações e compromissos que nos movam do plano para a ação.”
“O Google está comprometido em apoiar muitos dos esforços que discutimos hoje, incluindo a criação de nossa nova Equipe de Manutenção de Código Aberto, uma equipe de engenheiros do Google que trabalharão em estreita colaboração com mantenedores upstream na melhoria da segurança de projetos críticos de código aberto e fornecendo suporte à comunidade através de atualizações sobre projetos-chave como o SLSA, Cartões de pontuação; e a Sigstore, que agora está sendo usada pelo projeto Kubernetes”, disse Eric Brewer, vice-presidente de infraestrutura do Google Cloud & Google Fellow.
“Os riscos de segurança continuarão a abranger todas as empresas de software e projetos de código aberto e apenas um compromisso em todo o setor envolvendo uma comunidade global de desenvolvedores, governos e empresas pode fazer progressos reais. O Google continuará fazendo nossa parte para causar impacto.”
Stephen Chin, vice-presidente de relações com desenvolvedores da JFrog, observou que, como um CNA designado, a equipe jFrog Security Research monitora constantemente repositórios de software de código aberto para pacotes maliciosos que podem levar a ataques generalizados da cadeia de fornecimento de software e alerta a comunidade de acordo.
“Com base nisso, a JFrog tem orgulho de colaborar com a Linux Foundation e outros membros do OpenSSF na concepção de um conjunto de tecnologias, processos, credenciamentos e políticas para ajudar a proteger a infraestrutura crítica de nossa nação, ao mesmo tempo em que alimenta um dos princípios fundamentais da código aberto – a inovação.”
FONTE: HELPNET SECURITY