La orden ejecutiva de Biden pide una mayor seguridad de código abierto, pero no cómo lograrla


Comentario: Es un progreso que la orden ejecutiva del presidente Biden reconozca la necesidad de proteger el application de código abierto. Lo que no hace es abordar la mejor manera de lograrlo.

seguridad

Imagen: iStockPhoto / maxkabakov

Era solo cuestión de tiempo antes de que se sintiera el impacto de David Recordon en el gobierno federal de los Estados Unidos. Poco después de que el presidente Biden asumiera el cargo, nombró a Recordon Director de Tecnología de la Casa Blanca, unos años después de que Recordon ejecutara iniciativas de código abierto en Fb. Escribiendo en ese momento, Recordon dijo, «La pandemia y los continuos ataques de ciberseguridad presentan nuevos desafíos para toda la Oficina Ejecutiva del Presidente». Avance rápido hasta mayo de 2021, y el presidente Biden emitió una orden ejecutiva para mejorar la seguridad cibernética de la nación, con los dedos de código abierto de Recordon en todo el documento.

Por ejemplo, la orden ejecutiva de Biden insiste en «asegurar y dar fe, en la medida de lo posible, de la integridad y procedencia del computer software de código abierto utilizado dentro del (código del gobierno federal)». Sin embargo, lo que no hace es identificar cómo se hará esto. Es uno de los desafíos clave para el computer software de código abierto, y una orden ejecutiva puede influir pero no solucionar.

VER: Política de respuesta a incidentes de seguridad (TechRepublic High quality)

Siguiendo al tío Sam

Es emocionante que la orden ejecutiva destaque la importancia de proteger el software de código abierto, pero tal vez no sea sorprendente. Como Bob Dunn, vicepresidente de gobiernos globales de Juniper Networks. escribió, hay una serie de factores que apuntan a una mayor adopción del código abierto dentro del gobierno federal de EE. UU. Aunque ha sido fácil para las agencias quedarse con el software program propietario, «el soporte para estándares abiertos está creciendo y puede estar llegando a un punto de inflexión en los departamentos de TI federales», señaló Dunn.

Uno de esos factores ha sido Recordon y sus raíces de código abierto.

Y aunque esta orden ejecutiva solo se aplica al application utilizado dentro del gobierno federal, la realidad es que tendrá efectos colaterales mucho más allá de Washington DC. Si fuera una demanda escandalosa (es decir, saber qué hay dentro del software package que una organización compra y capaz de asegurarlo), entonces los principios delineados en la orden ejecutiva morirían con él. Pero no lo son. Dado que aproximadamente el 90% de todo el software package incluye componentes de código abierto, según casi todos los análisis que he visto (incluido este de Sonatype), y puede comprender hasta un 80% o más de una aplicación propietaria, como Se encontró el software program WhiteSource, es importante que las empresas puedan hacer un inventario y asegurar ese program, pero pocas pueden hacerlo.

En otras palabras, tenemos una orden ejecutiva que nos recuerda la importancia de asegurar nuestra cadena de suministro de código abierto, pero no tenemos buenas formas de hacerlo. Como El CEO de Tidelift, Donald Fischer, escribió sobre la orden ejecutiva de ciberseguridad de la Casa Blanca, «La dura verdad es que la mayoría de las organizaciones actualmente no tienen una comprensión completa de todo el application de código abierto que se utiliza en sus aplicaciones», y mucho menos una forma de protegerlo.

¿Estrategias de seguridad basadas en la esperanza?

Todo lo cual es un largo camino para sugerir que la postura de seguridad de la mayoría de las organizaciones parece ser «pensamientos y oraciones». Esta no es una gran estrategia de seguridad.

En ese mismo write-up, Fischer advirtió: «Según un encuesta reciente de Tidelift, en organizaciones con más de 10,000 empleados, el 39% de los encuestados informaron que no estaban muy o nada seguros de que los componentes de código abierto que estaban usando fueran seguros, bien mantenidos y actualizados. Sólo el 16% tenía mucha confianza «.

Ese es un gran porcentaje de personas que no están «extremadamente seguras» de poder proteger su software program.

VER: La orden ejecutiva de Biden enfrenta desafíos al intentar reforzar la ciberseguridad de EE. UU. (TechRepublic)

Tidelift presenta una forma de solucionar este problema, ofreciendo suscripciones que pagan a los mantenedores de program para mejorar y asegurar su código. En algunos aspectos, es similar a una suscripción que los clientes podrían pagar a Purple Hat (para Linux) o Confluent (para Apache Kafka), pero aborda una gama más amplia de componentes de los que pueden depender los clientes. Es un enfoque interesante para un problema complicado, pero es un problema complicado, uno que no se soluciona fácilmente con una sola solución.

Por ejemplo, Kim Lewandowski, miembro de la junta directiva de la Open Supply Stability Foundation, dijo: «Hemos visto algunos mantenedores en los que no quieren el dinero, o no pueden aceptarlo, o simplemente no pueden aplicarlo. para las cosas que necesitamos «. Una suscripción a Tidelift puede ayudar a cubrir algunos de los costos de asegurar un program importante, pero el dinero no siempre es la solución, según Lewandowski. Por lo tanto, OpenSSF está buscando diferentes opciones para acorralar los recursos de la industria para proteger mejor el application de código abierto.

A veces, eso implicará donaciones a los mantenedores del proyecto. A veces, eso significará un empleo para ellos en una empresa que los aliente a contribuir. No parece haber One Correct Way ™ para financiar la sostenibilidad del código abierto, por lo que es fundamental aplicar múltiples formas hacia el objetivo de mantener y asegurar el software package de código abierto.

Divulgación: trabajo para AWS, pero las opiniones expresadas en este documento son mías.

Ver también



Enlace a la noticia initial