Commento: per anni abbiamo cercato di affrontare la sicurezza a livello aziendale o organizzativo. Il nuovo progetto Alpha-Omega sembra adottare un vero approccio a livello di settore e questo è promettente.
La sicurezza è sempre stata un investimento poco sexy che tende ad avere più senso col senno di poi che nella pianificazione. Più recentemente, poiché le violazioni della sicurezza sono diventate la norma quotidiana piuttosto che l'eccezione occasionale, le aziende e i progetti open source hanno iniziato a considerare la sicurezza una priorità, anche se probabilmente è ancora carente nei nostri processi di sviluppo software.
Copertura di sicurezza da leggere
Il problema di questo approccio è che rimane atomistico, frammentato. Come notato in un recente articolo di ZDNet, "Lo stato della sicurezza è enormemente irregolare in tutto il settore, con una sicurezza abbastanza buona presso alcuni dei principali fornitori, ma la stragrande maggioranza ... manca di investimenti di sicurezza di base". Questo non ha senso. La sicurezza non è qualcosa che un'azienda o un progetto può fare da sola. È intrinsecamente un affare della comunità.
Ecco perché trovo incoraggianti alcune notizie recenti dalla Linux Foundation (LF)... proprio perché non si tratta della Linux Foundation. O non esclusivamente, cioè.
Le notizie dietro le notizie
Sono state annunciate due cose. In primo luogo, la Open Source Security Foundation (OpenSSF), che opera sotto la LF, ha aggiunto altri 20 membri al suo elenco. Cosa fanno questi membri? Apparentemente, "aiutano a identificare e correggere le vulnerabilità di sicurezza nel software open source e a sviluppare strumenti, formazione, ricerca, migliori pratiche e pratiche di divulgazione delle vulnerabilità migliorate". In pratica, molte di queste aziende vogliono semplicemente segnalare la loro preoccupazione per la sicurezza, ma il vero bene viene anche da tali organizzazioni.
Ad esempio, suppongo che mentre OpenSSF ora conta 60 membri in totale, la realtà probabile è che alcuni membri chiave (pensa a Google e Microsoft in questo caso) assegneranno agli sviluppatori la collaborazione stretta con altri membri OpenSSF per migliorare la sicurezza su particolari progetti open source per evitare scenari come la vulnerabilità di Log4j.
In altre parole, alcune organizzazioni possono permettersi di investire nella sicurezza e disporre delle risorse di esperti per farlo. Tutti traggono vantaggio quando condividono apertamente tali informazioni in un forum della community.
Il secondo aspetto dell'annuncio di LF è probabilmente ancora più interessante. OpenSSF ha anche annunciato l'Alpha-Omega Project, un progetto che tenta di identificare tutte le librerie e i pacchetti software open source più critici e fondamentali del mondo e di controllarli e quindi di supportarli se necessario. Dal rilascio:
“Il progetto migliora la sicurezza globale della catena di approvvigionamento OSS collaborando con i manutentori del progetto per cercare sistematicamente nuove vulnerabilità non ancora scoperte nel codice open source e risolverle. "Alpha" lavorerà con i manutentori dei progetti open source più critici per aiutarli a identificare e correggere le vulnerabilità della sicurezza e migliorare la loro posizione di sicurezza. "Omega" identificherà almeno 10.000 progetti OSS ampiamente implementati in cui può applicare analisi di sicurezza automatizzate, punteggi e linee guida per la riparazione alle loro comunità di manutentori open source".
Finanziato da un iniziale di 5 milioni di dollari da Microsoft e Google e supportato dall'Università di Harvard e dalla LF, questo censimento di progetti open source aiuta le aziende a assemblare la distinta base del software, come richiesto dall'ordine esecutivo degli Stati Uniti. Come notato dagli autori del censimento, gli elenchi che hanno compilato “rappresentano la nostra migliore stima di quali pacchetti FOSS [software gratuito e open source] siano i più utilizzati da diverse applicazioni, dati i limiti di tempo e l'ampio, ma non esaustivo , dati che abbiamo aggregato."
È un inizio impressionante per il lavoro tanto necessario e non si concentra su progetti software di nessuna organizzazione in particolare.
E questa è la vera novità. Non l'ordine esecutivo. Non il coinvolgimento di Google/Microsoft. Nemmeno la LF che affronta iniziative intersettoriali. No, la vera novità è che la sicurezza è più grande di qualsiasi organizzazione commerciale come la LF. Quei 10.000 progetti open source che la LF sta aiutando a catalogare? La maggior parte non siedono sotto la competenza della LF. O di Google. O di Microsoft. Oppure [inserire il nome di qualsiasi organizzazione].
La sicurezza riguarda tutti, ma abbiamo cercato di affrontarla in modo frammentario. Da un post scritto dal capo del progetto Alpha-Omega e dal professor Frank Nagle di Harvard, è necessario molto lavoro per migliorare la posizione di sicurezza del software open source in tutti i progetti. Ad esempio, non esiste uno schema di denominazione standard nei progetti open source, creando confusione:"Non esiste un organismo centralizzato per coordinare i nomi dei componenti FOSS, quindi possono esserci più componenti che hanno lo stesso nome ma non sono lo stesso componente". Abbiamo dimostrato che gli sviluppatori open source possono risolvere rapidamente i problemi quando emergono (forse più velocemente di chiunque altro), ma possiamo unirci per strutturare i progetti in modo simile in modo da evitare inutili problemi di sicurezza?
Alpha-Omega è un ottimo inizio per cercare di risolvere tali problemi in tutto il settore, piuttosto che in modo frammentario. Dopo Heartbleed, avevamo ambizioni simili per affrontare i nostri problemi di sicurezza. Speriamo che questa volta sia davvero diverso... e comunitario.
Disclosure:lavoro per MongoDB ma le opinioni qui espresse sono mie .
Link sorgente