La Casa Blanca se reúne con empresas de software package y organizaciones de código abierto sobre seguridad



Impulsado por las vulnerabilidades en el program generalizado que afecta a organizaciones de todo el mundo, el gobierno de EE. UU. se reunió con la comunidad de código abierto y las principales empresas de software program el 13 de enero en la Casa Blanca para encontrar formas de apoyar a la comunidad de desarrollo de application innovador y, al mismo tiempo, reducir la probabilidad. de futuras fallas de seguridad en componentes de software program comunes.

La Cumbre de Seguridad de Software package de la Casa Blanca reunió a funcionarios de varias agencias gubernamentales que se ocupan de la seguridad nacional y la tecnología con representantes de las principales compañías de application, incluidas Akamai, Amazon, Apple, GitHub, Google, Meta, Microsoft y RedHat, así como miembros de la comunidad de computer software de código abierto, como Apache Program Foundation y Linux Basis.

La cumbre tuvo como objetivo encontrar formas de «prevenir defectos de seguridad y vulnerabilidades en código y paquetes de código abierto, mejorar el proceso para encontrar defectos y corregirlos, y acortar el tiempo de respuesta para distribuir e implementar soluciones», dijo la administración de Biden en un comunicado.

En el centro de la discusión, sin embargo, está cómo el desarrollo innovador de las comunidades de código abierto puede seguir prosperando mientras se mejoran los esfuerzos para crear software package seguro y acelerar la aplicación de parches frente a las vulnerabilidades.

«El program de código abierto aporta un valor único y tiene desafíos de seguridad únicos, debido a su amplitud de uso y la cantidad de voluntarios responsables de su mantenimiento continuo de la seguridad». la administración declaró. «Los participantes tuvieron una discusión sustantiva y constructiva sobre cómo marcar la diferencia en la seguridad del software program de código abierto, al mismo tiempo que se involucran y apoyan de manera efectiva a la comunidad de código abierto».

La cumbre se llevó a cabo mientras las empresas continúan luchando por encontrar y parchear una vulnerabilidad importante en el marco de registro Log4j para aplicaciones Java, que se united states of america ampliamente en aplicaciones empresariales. Más del 80 % de las aplicaciones de Java en el Repositorio central de Maven, un repositorio de administración de paquetes ampliamente utilizado, tenía Log4j como dependencia, lo que significa que esas aplicaciones y componentes de Java probablemente sean vulnerables. Si bien la vulnerabilidad aún no ha llevado a un compromiso importante, según los funcionarios de EE. UU., es probable que el problema tarde años en remediarse debido a su ubicuidad.

Una larga historia de vulnerabilidades generalizadas
La vulnerabilidad en los paquetes de software program generalizados no es nueva. La vulnerabilidad Heartbleed de 2014 en OpenSSL y las vulnerabilidades SPECTRE y Meltdown de 2018 demostraron que los problemas de seguridad que se encuentran en el application y el firmware omnipresentes tienen colas largas.

«El mundo funciona con computer software, que a su vez se basa en código abierto, [which] significa que las vulnerabilidades en el código fuente abierto pueden tener un efecto dominó global entre los miles de millones de desarrolladores y servicios que dependen de él», Mike Hanley, director de seguridad de GitHub, dijo en un comunicado en la cumbre. «Hemos visto cómo solo una o dos líneas de código susceptible pueden tener un impacto dramático en la salud, la seguridad y la confiabilidad de sistemas completos en un abrir y cerrar de ojos».

La cumbre tuvo como objetivo encontrar formas en que el gobierno y la industria trabajen juntos para mejorar la seguridad del código fuente abierto, como la integración de funciones de seguridad en las herramientas y servicios de los desarrolladores, así como también garantizar la integridad de las plataformas utilizadas para almacenar y distribuir paquetes. Es possible que los esfuerzos iniciales se centren en formas de mejorar la seguridad de los proyectos y paquetes de software de código abierto populares y críticos y acelerar la adopción de listas de materiales de software para permitir que los desarrolladores y las empresas rastreen sus dependencias.

«Todo esto comienza con un esfuerzo común para aumentar la visibilidad del uso de application de código abierto», dice Boaz Gelbord, director de seguridad de Akamai. «Las organizaciones gubernamentales y del sector privado deben invertir en herramientas que revelen la dependencia de las tecnologías de código abierto y, lo que es más importante, tomar medidas para mitigar y contener los riesgos para fortalecer la seguridad del ecosistema en general».

Los esfuerzos serán un equilibrio entre mantener los esfuerzos innovadores y de establecimiento de estándares del desarrollo de código abierto independiente y hacer cumplir prácticas de desarrollo seguras en proyectos y productos que se conviertan en parte de la infraestructura crítica de la que dependen la industria y el gobierno, dice Brian Behlendorf, director ejecutivo de la Fundación de Seguridad de Código Abierto (OpenSSF).

«Al comienzo de la cadena de suministro están los procesos crudos, a veces desordenados, pero también increíblemente innovadores, de escribir código en un grupo que a menudo conduce a un gran software program», dice. «Eso es precioso y no debe estar encadenado por la burocracia o los requisitos que no crean valor para los desarrolladores principales aguas arriba».

Sin embargo, OpenSSF reconoce que es necesario agregar procesos de desarrollo más seguros a cada paso de la cadena, desde el desarrollador central hasta el administrador de paquetes y los equipos de desarrollo que finalmente usan el componente o la biblioteca de software program.

«Lo que es importante ahora, en un mundo de millones de proyectos y desarrolladores de software, es ayudar a escalar lo que solían ser procesos informales y de alta confianza a lo largo de esta cadena en herramientas y prácticas más rigurosas y automatizables», dice Behlendorf.

La industria ya ha comenzado a invertir en la seguridad del software program de código abierto, así como en sus propios productos de computer software. En una cumbre comparable en agosto, Google y Microsoft se comprometieron a gastar miles de millones en esfuerzos de ciberseguridad y seguridad de software program en los próximos cinco años. Google, por ejemplo, se ha comprometido con una iniciativa de seguridad invisible para integrar protecciones para que los desarrolladores y las empresas obtengan los beneficios, y también ha trabajado con OpenSSF para lanzar herramientas para desarrolladores. Akamai se comprometió a seguir ayudando a la comunidad de código abierto a encontrar formas de detectar vulnerabilidades en el software program y contener ataques, pero reconoció que el trabajo apenas comienza.

«Si bien esta orden ejecutiva es un paso en la dirección correcta, se necesita hacer más para apoyar a la comunidad de código abierto para que prospere dentro de nuestro panorama de amenazas en constante evolución», dice Gelbord de Akamai.

El año pasado, la administración Biden emitió una orden ejecutiva sobre seguridad cibernética que fue ampliamente elogiada por ser más detallada que las administraciones anteriores. Además, la administración anunció en octubre que crearía la Oficina de Ciberespacio y Política Digital dentro del Departamento de Estado de EE. UU. para liderar la diplomacia internacional sobre el tema.



Enlace a la noticia primary