La comunidad de código abierto ha presentado un plan de 10 puntos para mejorar la seguridad y la resiliencia de su software, reuniendo a más de 90 ejecutivos de 37 organizaciones junto con funcionarios del gobierno de EE. UU. en una cumbre en Washington DC.
Un año después de la orden ejecutiva del presidente Biden para mejorar la seguridad cibernética de EE. UU., la Fundación Linux y la Fundación de seguridad de software de código abierto (OpenSSF) organizaron la Cumbre de seguridad de software de código abierto II.
El plan prevé un programa de dos años y US$150 millones (£123 millones) para promover soluciones probadas a los 10 problemas clave identificados en el plan y proporcionar un camino firme hacia mejoras más inmediatas y bases para el desarrollo futuro.
Un grupo de empresas, Amazon, Ericsson, Google, Intel, Microsoft y VMware ya han prometido más de $30 millones del monto total requerido, con fondos adicionales que se identificarán a medida que evolucione el plan.
“En el primer aniversario de la orden ejecutiva del presidente Biden, estamos aquí hoy para responder con un plan de acción porque el código abierto es un componente crítico de nuestra seguridad nacional y fundamental para los miles de millones de dólares invertidos en innovación de software hoy”, dijo Linux. El director ejecutivo de la fundación, Jim Zemlin.
“Tenemos un compromiso compartido para mejorar nuestra resiliencia de seguridad cibernética colectiva y aumentar la confianza en el software en sí. Este plan representa nuestra voz unificada y llamado colectivo a la acción. La tarea más importante que tenemos por delante es el liderazgo”.
Brian Behlendorf, director ejecutivo de OpenSSF agregó: «Lo que estamos haciendo juntos aquí es reunir un conjunto de ideas y principios sobre lo que estalló allí y lo que podemos hacer para solucionarlo. «El plan que hemos elaborado representa las 10 banderas en el suelo como base para comenzar. Esperamos más aportes y compromisos que nos lleven del plan a la acción».
El plan de 10 puntos, que se puede leer completo en el sitio web de OpenSSF, es el siguiente:
- Brindar capacitación básica y certificación para el desarrollo de software seguro;
- Estableció un panel de evaluación de riesgos público, independiente del proveedor y basado en métricas objetivas para 10 000 componentes de software de código abierto (OSS) ampliamente utilizados;
- Acelerar la adopción de firmas digitales en versiones OSS;
- Elimine las causas raíz de muchas vulnerabilidades al reemplazar los lenguajes seguros para la memoria;
- Establecimiento de un Equipo de Respuesta a Incidentes respaldado por OpenSSF para ayudar a los proyectos de código abierto a responder a las revelaciones de vulnerabilidades;
- Mejorar la capacidad de los mantenedores y expertos para descubrir nuevas vulnerabilidades en proyectos de código abierto;
- Estableció un programa para auditorías de código y resolución de problemas de terceros para hasta 200 de los componentes de OSS más críticos;
- Coordinar el intercambio de datos en toda la industria para mejorar la forma en que la comunidad determina cuáles son realmente los componentes de OSS más críticos;
- Mejorar la implementación de las herramientas y la capacitación de la lista de materiales de software (SBOM);
- Y, por último, mejorar los 10 mejores sistemas de compilación, administradores de paquetes y sistemas de distribución de OSS con herramientas y prácticas mejoradas de seguridad de la cadena de suministro.
Mike Hanley, director de seguridad (CSO) de GitHub, comentó sobre el plan: «Asegurar el ecosistema de código abierto comienza con equipar a los desarrolladores y mantenedores de código abierto con las herramientas y las mejores prácticas necesarias para proteger el software: la cadena de suministro es crucial.
«Como hogar de 83 millones de desarrolladores en todo el mundo, GitHub tiene una posición única y está comprometido a impulsar estos esfuerzos, y hemos continuado con nuestras inversiones para ayudar a los desarrolladores y mantenedores a lograr mejores resultados de seguridad a través de iniciativas como la aplicación de 2FA en GitHub.com y lograr NPM. Fuente abierta de la base de datos de asesoramiento de GitHub, apoyo financiero para desarrolladores de los patrocinadores de GitHub y capacitación gratuita en seguridad del laboratorio de seguridad de GitHub.
“La seguridad de código abierto es fundamental para la seguridad de todo el software. Summit II fue un próximo paso importante para volver a unir a los sectores público y privado, y esperamos continuar nuestras asociaciones para tener un impacto significativo en el futuro de la seguridad del software”, dijo.
