جامعه منبع باز مسیری را برای نرم افزار امن تعیین می کند

در جامعه منبع باز طرحی 10 ماده ای برای بهبود امنیت و انعطاف پذیری نرم افزار خود ارائه کرده است که بیش از 90 مدیر اجرایی از 37 سازمان را در کنار مقامات دولتی ایالات متحده در نشستی در واشنگتن دی سی گرد هم می آورد.

یک سال بعد از رئیس جمهور بایدن برگزار شد فرمان اجرایی بهبود امنیت سایبری ایالات متحده، اجلاس امنیت نرم افزار منبع باز II توسط سازماندهی شد بنیاد لینوکس و بنیاد امنیت نرم افزار منبع باز (OpenSSF).

این طرح یک برنامه دو ساله 150 میلیون دلاری (123 میلیون پوندی) را برای پیشبرد راه حل های بررسی شده برای 10 مشکل اصلی شناسایی شده در طرح، و همچنین ایجاد مسیری محکم برای بهبودهای فوری تر و زیربنای توسعه آینده، ترسیم می کند.

گروهی از شرکت‌ها، آمازون، اریکسون، گوگل، اینتل، مایکروسافت و VMware قبلاً بیش از 30 میلیون دلار از کل مورد نیاز را متعهد شده‌اند که با توسعه بیشتر طرح، بودجه بیشتری مشخص خواهد شد.

در یک سالگرد فرمان اجرایی پرزیدنت بایدن، امروز ما اینجا هستیم تا با طرحی قابل اجرا پاسخ دهیم، زیرا منبع باز یک مؤلفه مهم امنیت ملی ما است و برای میلیاردها دلار سرمایه گذاری در نوآوری نرم افزاری امروز ضروری است. جیم زملین، مدیر اجرایی بنیاد لینوکس گفت.

ما یک تعهد مشترک داریم که انعطاف پذیری امنیت سایبری جمعی خود را ارتقا دهیم و اعتماد به خود نرم افزار را بهبود ببخشیم. این طرح نمایانگر صدای واحد و فراخوان مشترک ما برای اقدام است. مهمترین وظیفه پیش روی ما رهبری است.»

برایان بهلندورف، مدیر اجرایی OpenSSF افزود: «آنچه ما در اینجا با هم انجام می دهیم، مجموعه ای از ایده ها و اصول است که در آنجا شکسته شده است و آنچه می توانیم برای رفع آن انجام دهیم. طرحی که ما گرد هم آورده ایم نشان دهنده 10 پرچم در زمین به عنوان پایه ای برای شروع است. ما مشتاق دریافت نظرات و تعهدات بیشتر هستیم که ما را از برنامه به عمل سوق دهد.»

طرح 10 ماده ای که به طور کامل در وب سایت OpenSSF قابل مطالعه است، به شرح زیر است:

1. برای ارائه آموزش و گواهینامه توسعه نرم افزار ایمن پایه؛
2. ایجاد داشبورد ارزیابی ریسک عمومی، خنثی از تأمین‌کننده و مبتنی بر معیارهای هدف برای 10000 جزء نرم‌افزار منبع باز (OSS)
3. برای تسریع پذیرش امضای دیجیتال در نسخه های OSS؛
4. برای از بین بردن ریشه‌های بسیاری از آسیب‌پذیری‌ها با جایگزینی زبان‌های غیر ایمن برای حافظه؛
5. ایجاد یک تیم پاسخ به حادثه با پشتیبانی OpenSSF برای کمک به پروژه های منبع باز برای پاسخگویی به افشای آسیب پذیری ها؛
6. بهبود توانایی نگهبانان و کارشناسان برای کشف آسیب‌پذیری‌های جدید در پروژه‌های منبع باز؛
7. برای ایجاد برنامه ای برای ممیزی کد شخص ثالث و اصلاح تا 200 مورد از مهم ترین مؤلفه های OSS؛
8. برای هماهنگ کردن اشتراک‌گذاری داده‌ها در سراسر صنعت به منظور بهبود نحوه انجام جامعه در تعیین حیاتی‌ترین اجزای OSS در واقع؛
9. برای بهبود پذیرش ابزار و آموزش لایحه مواد نرم افزاری (SBOM).
10. و در نهایت، برای بهبود 10 سیستم ساخت OSS، مدیران بسته‌ها و سیستم‌های توزیع با ابزارها و شیوه‌های امنیتی زنجیره تامین بهبودیافته.

مایک هانلی، افسر ارشد امنیت (CSO) در اظهار نظر در مورد این طرح GitHubوی گفت: “ایمن سازی اکوسیستم منبع باز با توانمندسازی توسعه دهندگان و نگهبانان منبع باز با ابزارها و بهترین شیوه هایی که برای تامین امنیت زنجیره تامین نرم افزار مفید هستند، شروع می شود.

GitHub به عنوان خانه 83 میلیون توسعه‌دهنده در سراسر جهان، موقعیت منحصربه‌فردی دارد و متعهد به پیشبرد این تلاش‌ها است، و ما به سرمایه‌گذاری‌های خود ادامه داده‌ایم تا به توسعه‌دهندگان و نگهبانان کمک کنیم تا از طریق طرح‌هایی از جمله اجرای 2FA در GitHub.com و NPM، نتایج امنیتی بهتری را درک کنند. منبع یابی باز پایگاه داده مشاوره GitHub، امکان مالی برای توسعه دهندگان از طریق حامیان GitHub و آموزش رایگان امنیت از طریق آزمایشگاه امنیتی GitHub.

“امنیت منبع باز برای امنیت همه نرم افزارها حیاتی است. اجلاس 2 گام بعدی مهمی در گرد هم آوردن مجدد بخش خصوصی و دولتی بوده است و ما مشتاقانه منتظر ادامه همکاری های خود هستیم تا تأثیر قابل توجهی بر آینده امنیت نرم افزار بگذاریم.