Tổ chức An ninh Mạng và Cơ sở hạ tầng CISA của Mỹ đã công bố 4 ưu tiên để bảo vệ hệ sinh thái phần mềm mã nguồn mở cho chính phủ và cơ sở hạ tầng quan trọng vào ngày Thứ Ba, 12 tháng 9. Cụ thể, kế hoạch này sẽ được sử dụng để phát triển một khung công việc để ưu tiên rủi ro. Khung công việc này sau đó sẽ hướng dẫn chính phủ liên bang và các tổ chức cơ sở hạ tầng quan trọng trong việc lựa chọn các dự án bảo mật mã nguồn mở nào sẽ được triển khai trước.
Kế hoạch của CISA thiết lập các bước tiến hành như sau:
1. Xác định vai trò của CISA trong việc hỗ trợ bảo mật phần mềm mã nguồn mở.
2. Hiểu sự phổ biến của các phụ thuộc mã nguồn mở chính.
3. Giảm rủi ro cho chính phủ liên bang.
4. Tăng cường hệ sinh thái phần mềm mã nguồn mở rộng hơn.
Toàn bộ kế hoạch được tìm thấy trong một PDF được liên kết trong bài đăng trên blog của CISA. Kế hoạch này sẽ dẫn đến một quy trình mà CISA có thể tiếp tục theo dõi rủi ro bảo mật phần mềm mã nguồn mở. CISA cũng có kế hoạch tạo ra một hướng dẫn về các thực tiễn tốt nhất trong bảo mật mã nguồn mở cho các cơ quan chính phủ và tổ chức cơ sở hạ tầng quan trọng, theo kế hoạch đã đề ra.
“Chúng tôi hình dung một thế giới trong đó mọi dự án phần mềm mã nguồn mở quan trọng không chỉ được bảo mật mà còn là bền vững và kháng khỏe, được hỗ trợ bởi một cộng đồng phong phú, đa dạng và sôi nổi. Trong thế giới này, các nhà phát triển OSS được trao quyền để làm cho phần mềm của họ càng an toàn càng tốt”, CISA viết.
Vì sao CISA lại viết một kế hoạch mới? Kế hoạch mới là một phần của Chiến lược An ninh Mạng Quốc gia liên bang và Kế hoạch Chiến lược An ninh Mạng của CISA. Kế hoạch này quan trọng vì nó cung cấp các bước tiếp theo về cách CISA có thể làm việc với các công ty và tổ chức phi lợi nhuận sử dụng và phát triển phần mềm mã nguồn mở.
CISA nhấn mạnh rằng phần mềm mã nguồn mở có thể dẫn đến sự đổi mới tuyệt vời; tuy nhiên, CISA cho biết, các lỗ hổng như lỗ hổng Log4shell lan truyền rộng rãi trong năm 2021 chỉ ra rằng phần mềm mã nguồn mở có thể giới thiệu những khiếm khuyết nguy hiểm vào mã được sử dụng rộng rãi. Ngoài ra, các cuộc tấn công chuỗi cung ứng có thể làm cho phần mềm mã nguồn mở trở nên dễ bị xâm phạm.
Kết nối với Đạo luật Bảo vệ Phần mềm Mã nguồn Mở năm 2023. Kế hoạch của CISA chứa các nền móng để áp dụng các hành động được miêu tả trong Đạo luật Bảo vệ Phần mềm Mã nguồn Mở năm 2023. Đây là một dự luật được giới thiệu trong Quốc hội vào tháng 9 năm 2022; nó nhấn mạnh tầm quan trọng của cộng đồng mã nguồn mở đối với ngành công nghệ và yêu cầu CISA làm việc trực tiếp hơn với cộng đồng mã nguồn mở trong các vấn đề liên quan đến an ninh quốc gia. Đạo luật Bảo vệ Phần mềm Mã nguồn Mở được giới thiệu trong Quốc hội vào tháng 3 năm 2023 và chưa được thông qua ở Hạ viện.
Lựa chọn cho một hành động liên bang là các tổ chức phải xem xét các phụ thuộc chéo của riêng mình. Phụ thuộc chéo là những liên kết của phần mềm mã nguồn mở miễn phí hoặc mã nguồn mở với mã nguồn mở khác. Chúng có thể được khóa lại bằng cách sử dụng một phương pháp như một văn bản bill cho phần mềm.
3 mục tiêu của Hội nghị An ninh Phần mềm Mã nguồn Mở An toàn năm 2023. Lộ trình bảo mật mã nguồn mở là một trong nhiều tài liệu hiện đang lưu hành trong lĩnh vực liên bang Mỹ liên quan đến việc điều chỉnh cộng đồng mã nguồn mở với các nhu cầu bảo mật quan trọng. Đại diện từ CISA đã tham dự Hội nghị An ninh Phần mềm Mã nguồn Mở An toàn năm 2023 để thảo luận về tiêu chuẩn bảo mật mã nguồn mở với các cơ quan chính phủ khác và các thành viên trong ngành vào ngày 13 tháng 9. Họ đã giải quyết các vấn đề an ninh mã nguồn mở có thể phát sinh trong cơ sở hạ tầng quan trọng, y tế công cộng và an toàn, ổn định kinh tế hoặc an ninh quốc gia.
Cuộc họp đã dẫn đến việc tạo ra ba mục tiêu cho năm tới:
1. Cung cấp giáo dục về bảo mật cho những người duy trì, đóng góp và tiêu dùng phần mềm mã nguồn mở.
2. Bảo mật các kho lưu trữ phần mềm mã nguồn mở.
3. Cho phép khả năng đáp ứng sự cố phần mềm mã nguồn mở vượt ngành công nghiệp.
Tác động của lỗ hổng phần mềm mã nguồn mở đối với tài sản doanh nghiệp.
“Theo tài năng công nghệ and phó giám đốc nghiên cứu lỗ hổng và mối đe dọa và đồng sáng lập của công ty phần mềm quản lý thay thế Action1, Mike Walters, trong email gửi tới TechRepublic, cho biết: ‘Mặc dù các cơ quan chính phủ đã đạt được tiến bộ trong việc giải quyết bảo mật phần mềm mã nguồn mở, nhưng rõ ràng cần phải có hành động tiếp theo để nâng cao bảo vệ cơ sở hạ tầng quan trọng và tài sản doanh nghiệp’.”
“Những rủi ro mà tổ chức đối mặt từ các lỗ hổng phần mềm mã nguồn mở rất đáng kể và có thể có hậu quả tàn khốc”, Walters nói. “Bằng việc đầu tư vào các biện pháp bảo mật toàn diện, khuyến khích sự hợp tác và áp dụng các thực tiễn an toàn, chúng ta có thể xây dựng một hệ sinh thái mạnh mẽ, khuyến khích sự đổi mới trong khi bảo vệ khỏi các mối đe dọa tiềm tàng.”
The US Cybersecurity and Infrastructure Security Agency released four priorities for securing open source software ecosystems on Tuesday, September 12. Specifically, the roadmap will be used to develop a framework to prioritize risk. This framework will then guide the federal government and critical infrastructure organizations in choosing which open source security projects to launch first.
Jump to:
What is the CISA’s roadmap?
The CISA’s roadmap sets up steps toward the following:
- Establish CISA’s role in supporting the security of open source software.
- Understand the prevalence of key open source dependencies.
- Reduce risks to the federal government.
- Harden the broader open source software ecosystem.
The full roadmap can be found in a PDF linked in CISA’s blog post. The roadmap will result in a process by which CISA can continually monitor open source software security risks. CISA also plans to create a guide to best practices in open source security for government entities and critical infrastructure organizations, according to the roadmap.
“We envision a world in which every critical OSS (open source software) project is not only secure but sustainable and resilient, supported by a healthy, diverse and vibrant community. In this world, OSS developers are empowered to make their software as secure as possible,” CISA wrote.
Why did CISA write a new roadmap?
The new roadmap is part of the federal National Cybersecurity Strategy and the CISA Cybersecurity Strategic Plan. The roadmap is significant because it provides next steps for how CISA might work with companies and nonprofit groups using and developing open source software.
SEE: Explore our picks for the 8 best open source project management software in 2023. (TechRepublic)
CISA notes that open source software can lead to great innovation; however, CISA said, vulnerabilities like the widespread Log4shell vulnerability in 2021 mean open source software can introduce insidious flaws in widely-used code. In addition, supply chain attacks can make open source software vulnerable.
Connection to the Securing Open Source Software Act of 2023
CISA’s roadmap contains groundwork for possible application of the actions detailed in the Securing Open Source Software Act of 2023. This is a bill introduced in Congress in September 2022; it highlights the importance of the open source community to the tech industry and calls for CISA to work more directly with the open source community in matters of national security. The Securing Open Source Software Act was introduced to Congress in March 2023 and has not yet passed in the House of Representatives.
The alternative to a federal act is for organizations to vet their own transitive dependencies. Transitive dependencies are the links free or open source software has to other open source code. These could be locked down using a method such as a software bill of materials.
3 objectives of the Secure Open Source Software Summit 2023
The open source security roadmap is one of many documents currently circulating in the U.S. federal realm related to aligning the open source community with high-stakes security needs. Representatives from CISA attended the Secure Open Source Software Summit 2023 to discuss open source security standards with other government agencies and members of the industry on September 13. They addressed possible open source security concerns in critical infrastructure, public health and safety, economic stability or national security.
The meeting resulted in the creation of three objectives for the next year:
- Providing security education to open source software maintainers, contributors and consumers.
- Securing open source software repositories.
- Enabling cross-industry open source software incident response capabilities.
The effects of open source vulnerabilities on corporate assets
“While government agencies have made progress in addressing open source security, it is evident that further action is needed to enhance the protection of critical infrastructure and corporate assets,” said Mike Walters, vice president of vulnerability and threat research and co-founder of patch management software company Action1, in an email to TechRepublic.
“The risks that organizations face from open source vulnerabilities are significant and can have devastating consequences,” Walters said. “By investing in comprehensive security measures, fostering collaboration and enforcing secure practices, we can build a resilient ecosystem that encourages innovation while protecting against potential threats.”
[ad_2]
