Az OpenSSF GM a finanszírozásról, a jogi szoftverellátási lánc problémáiról beszél

A technológiai iparban egyre erősödnek a félelmek a gazdasági ellenszélektől, valamint az egyre súlyosbodó kiberbiztonsági támadásoktól. Az Open Source Security Foundation vezérigazgatója mindkettő metszéspontjában áll.

Eddig az alapítvány, a OpenSSFambiciózus finanszírozási és mobilizálási célokat tűzött ki a nyílt forráskódú szoftverek ellátási láncának biztonságának javítása érdekében az indulás óta eltelt körülbelül 18 hónapban. Ezeket az erőfeszítéseket a Biden-adminisztráció és a tagjai közül olyan nagyvállalatok támogatják, mint az Amazon, a Google és a Microsoft. A tavalyi 150 millió dolláros kezdeti finanszírozási célt azonban még nem teljesítette.

Brian Behlendorf, az OpenSSF vezérigazgatója a Log4j nyomán a nyílt forráskódú biztonság javítását célzó kollektív fellépésre ösztönző kampány második évével áll szemben, valamint az EU-ban a függőben lévő kiberbiztonsági törvénykezéssel, amely a nyílt forráskód szószólóit érintette. Világszerte. A TechTarget Editorial ebben a hónapban beszélt Behlendorftal, hogy megvitassák ezeket a trendeket és még sok mást.

TechTarget szerkesztőség: [Linux Foundation Executive Director] – mondta Jim Zemlin KubeCon hogy az OpenSSF még nem érte el a 150 millió dolláros finanszírozási célját. Hogyan néz ki ez a finanszírozási kép most, 2023-ban?

Brian Behlendorf: A mozgósítási terv, [and] a 150 millió dolláros szám, ami ott volt, az igazi északot hivatott leírni, hogy azt mondja: “Hé, ha úgy döntünk, hogy összegyűjthetünk némi forrást néhány nagy dolog megoldására, ez lehetséges.” Olyan, mint az első üzleti terv, amelyet egy vállalkozó kitalál, körülbelül három hetes sprint során dolgoztak ki néhány igazán éles ember, de ez az első lépés. További fejlődés történt, például az OpenSSF Incident Response Team javaslata, [and] egy javaslat, hogy többet fektessünk be az oktatási oldalba, hogy megpróbáljuk megszerezni a legjobb gyakorlatokat és az általunk kifejlesztett képzést a fejlesztők és az egyetem hallgatói számára. Arra számítok, hogy ebben az évben frissítjük ezt a tervet, amely egy újabb kutatási évet tükröz.

Közben tavaly 7,5 millió dollárt gyűjtöttünk az Alpha-Omegához, és reméljük, sikerül [raise] idén ugyanannyit. Őszintén szólva, a gazdasági ellenszél mellett azt vizsgáljuk: „Hogyan biztosíthatjuk, hogy a most rendelkezésünkre álló erőforrások kitartanak?”

Mi az Alpha Omega?

Behlendorf: Két részből áll: az első a nagyobb nyílt forráskódú alapítványok biztonsági csapatainak finanszírozásáról és biztonsági folyamataik frissítéséről szól. Az Alpha-Omega ezen alfa oldala összesen mintegy 2 millió dollár támogatást adott ki tavaly [groups] Tetszik [the] Piton [Software Foundation], a Node.js Foundation és az Eclipse Foundation, hogy javítsák biztonsági csapataikat. Ha segíthetünk nekik meglátni az erőforrások értékét [security] a csapatok nem csak védekező intézkedésként, hanem jobb folyamatok proaktív bevezetése érdekében, akkor ezek a közösségek hosszú távon finanszírozzák magukat. Az Omega oldalán a Google Project Zero nyílt forráskódú megfelelőjeként is gondolhatnánk. Hogyan hozzunk létre egy csapatot és egy infrastruktúrát, hogy szisztematikusan átvizsgáljuk a 10 000 legnépszerűbb nyílt forráskódú projektet új sebezhetőségek után kutatva, és megpróbáljuk ezeket nagymértékben bezárni? Elkezdhetjük-e szisztematikusan megvizsgálni, hogy valaki más sebezhető-e ugyanazzal a dologgal szemben, szisztematikusan megnyitva a lehívási kérelmeket 100 hiba egyidejű bezárásához? [We could] Ugyanúgy kezelje ezt, mint egy koordinált sebezhetőség feltárási folyamatot, ami olyan létfontosságú, hogy az ilyesmit a lehető legkevésbé zavaró módon megoldjuk.

A mozgósítási terv tavalyi közzétételekor több vállalat jelentős beruházásokat eszközölt a 150 millió dolláros cél elérése érdekében. Meglepett, hogy tavaly nem tudta elérni ezt a célt, a A Fehér Ház érintett és annyi nagy cég vesz részt?

Behlendorf: Amit kaptunk, 30 millió dolláros ígéretet kaptunk a meglévő OpenSSF-tagoktól. Azon a májusi napon, amikor közzétettük a jelentést, nem ez volt: „Itt a pénz, és indulunk”, hanem „Találd ki a dolgokat, és bizonyítsd be”. És szándékosan úgy döntöttünk, hogy időt szánunk arra, hogy sok ilyen projektet további kutatásokkal alátámasztsunk.

Abban reménykedtem, hogy ha a kormány azt mondja, hogy ez prioritás, akkor új típusú szereplők, például biztosítótársaságok kezdenek kiberkockázati politikát írni, és más finanszírozási források is. De ezek az értékesítési ciklusok és ezek a lehetőségek hosszúak. Washingtonban még mindig beszélnek olyan politikákról, amelyek jó irányba haladnak, és olyan finanszírozásról, amely szintén hasznos lehet. Nem akarom megszámolni a csirkéket, mielőtt kikelnek.

Aztán azt látjuk, hogy az Európai Unió a Cyber ​​Resilience Act révén olyan irányt vesz, amelyről úgy gondoljuk, hogy az egész szoftveriparban, nem csak a nyílt forráskódban, aktívan károsíthatja az erőfeszítéseket. Még nem kommentáltunk róla, de az Eclipse Foundation nemrégiben közzétett egy blogot róla. Valószínűleg erről is kiadunk valamit a következő héten.

Mi a káros a kiberrezilienciáról szóló törvényben?

Behlendorf: A Cyber ​​Resilience Act egy olyan javasolt irányelv, amely olyan kötelezettségeket ró a kritikus infrastruktúrában használt nyílt forráskódú szoftverek kiadóira, amelyeket ők határoznak meg, amelyek betartása költséges, és csak a kód közzététele váltja ki, nem csak a vám. Azt javasolják, hogy még a nyílt forráskód közzétételéhez is szigorú szabályok és lépések sorozatát kell követnie, és ellenőrizni kell a folyamatot és hasonlókat. Úgy gondolom, hogy a nyílt forráskódú közösséggel vagy általában a technológiával nem ez az út.

Hasonlítsa össze ezt az Egyesült Államok kormányának valami konkrétabb megközelítésével, például az SBOM-mal. Együtt dolgoztak az iparággal, hogy megbeszéljék, melyek a megfelelő szabványok, mik a megfelelő bökkenők? És végül szükségük lesz SBOM-ra állami beszerzésekhez, esetleg még olyan dolgokhoz is, mint az orvosi eszközök, de még nem mondták: “Az Egyesült Államokban SBOM-ra van szükség a nyílt forráskód közzétételéhez.” A CRA még ennél is tovább megy azzal, hogy számos további dolgot meghatároz.

Ugyanakkor van egy növekvő válságérzet a kiberbiztonsággal kapcsolatbanarról, hogy a támadások hogyan halmozódnak fel, a jogsértéseket egyre nagyobbak és gyakoribbak. Látod a frusztráció érzését, és szerinted mi a válasz?

Behlendorf: Ha a Log4Shell lenne az utolsó jelentős ellátási lánc megsértése, az nagyszerű lenne, de valószínűleg nem fog megtörténni. Folyamatos eszkaláció van a védekezési technikák és a támadási technikák között. És amilyen gyorsan megtaláljuk a módját a hajó szigorításának, egy egész terület körül, mint például a typosquatting, a rossz szereplők a következő szintre lépnek. Abban reménykedsz, hogy ez nem csak egy elhasználódási háború lesz, hanem olyan dolgokat teszünk, amelyek sebezhetőségek egész osztályát zárják le egyszerre.

Az internet kezdeti napjaiban nem titkosítottuk a kommunikációt, mert azt hitte, megbízhat abban, hogy a hálózatokat üzemeltető emberek nem olvassák el az Ön e-mailjeit, és nem figyelik a webes forgalmát. És most már tudjuk, hogy Ön mindent TLS-en keresztül csinál. Ugyanebben a tekintetben úgy gondolom, hogy sok mozgást fog látni a memóriabiztos nyelvek, például a Rust és a Go felé. Látni fogja, hogy az emberek nemcsak SBOM-ot, hanem aláírásokat is követelnek a Sigstore vagy valamilyen más eszköz segítségével, és megemelik a mércét azon, hogy milyen összetevőket helyeznek el a csomagokba és platformokba, például a Kuberneteseket, amelyeket a vállalatok úgy döntenek, hogy fogyasztanak.

Ez az állandó hevület tere, és ez egyfajta ára az előrejutásnak és az innovatív technológiák használatával kapcsolatos döntések meghozatalának. Lesznek éles élek, de ha a megfelelő eszközöket használod, a megfelelő alapértékeket állítod be, akkor ez a legfontosabb. Ezután elmozdulhatunk a biztonságosabb internet felé, és más módszereket kereshetünk a siker mérésére, mint a következő nagy válság hiánya. Az olyan dolgok, mint a Scorecard, kezdik ezt adni nekünk. Objektíven megnézhetjük egymillió beolvasott repó tömegét, és megkérdezhetjük: „Nőtt az átlagos pontszám egy év során? Sikerült megmozgatnunk a tömegeket, és nem csak magas lécet állítottunk fel, hanem a szoftver minősége és biztonsága szempontjából elfogadható szintjét is?

De túl messzire megy, ha csak szoftvert gyártunk, mondod.

Behlendorf: A CRA, a javasolt irányelv ezt a közzétételkor aktiválja. Mint amikor egy nyílt forráskódú projekt kiad egy kiadást, meg kell erősítenie, hogy nem [vulnerable to] X, Y és Z, és néhány közülük a legkritikusabb, független külső audit igazolja ezt. Ez drága lenne, és folyamat szempontjából meglehetősen megterhelő, és mindenesetre lelassítaná a nyílt forráskódok Európai Unióban történő használatát. Nem lenne jó nekik, de mivel manapság annyi nyílt forráskód érkezik Európából, ez ránk is hatással lesz.

Itt másfajta finanszírozási probléma van — mások beszélnek arról, hogyan a nyílt forráskódú fejlesztőknek fizetni kell. Mi a véleményed erről?

Behlendorf: Soha nem fizettek közvetlenül azért, mert nyílt forráskóddal dolgoztam. És a legtöbb ember, akit ismerek, nem, de nyílt forráskóddal dolgoztak, nem jótékonykodásból, hanem azért, mert a munkájuk közvetett módon ezt megkívánta. A nyílt forráskódú fejlesztések túlnyomó többségét mindig is olyan emberek végezték, akik kereskedelmi céllal tették, hogy beépítsék az általuk elindított weboldalba vagy az általuk készített szolgáltatásba. A válság nem annyira a nyílt forráskód fejlesztőinek nyers finanszírozásában van. Ez az olyan szolgáltatások finanszírozása és a proaktivitás, amely biztonságosabb szoftverekhez vezet. Valójában arról van szó, hogy értéket nyújtsunk harmadik feleknek, és néha rávegyük az embereket erre, amikor a legfőbb motívum az, hogy mindenki csak azért van, hogy úgymond megkarcolja a saját idegességét. A kollektív cselekvés érzésének elsajátítása 25 éve kihívást jelent a nyílt forráskód számára. De ezt kifejezetten a biztonsággal kapcsolatban megtenni lehetőségünk és kihívásunk is, és serkenti a közös cselekvés érzését.

Beth Pariseau, a TechTarget vezető hírírója az IT-újságírás díjnyertes veteránja. Elérhető a címen [email protected] vagy a Twitteren @PariseauTT.

Leave a Comment

%d bloggers like this: