La Casa Blanca se asocia con The Linux Foundation para mejorar la seguridad de código abierto

Parece que el gobierno de EE. UU. no proporcionará dinero para financiar el programa, razón por la cual empresas como Amazon, Ericsson, Google, Intel, Microsoft y VMware han prometido alrededor de $ 30 millones en total, mientras que Amazon Web Services (AWS) prometió un 10 millones adicionales por su parte. Brian Behlendorf, director general de OpenSSF, dijo en rueda de prensa en la Casa Blanca que la intención no es recaudar fondos públicos y que no lo ven necesario para el éxito del programa.

El programa promovido por OpenSSF y The Linux Foundation está diseñado para lograr los siguientes 10 objetivos:

• Ofrecer capacitación y certificación básica en desarrollo de software seguro.
• Cree un panel de control de riesgos público e independiente del proveedor basado en métricas objetivas para 10 000 componentes principales de código abierto.
• Acelere la adopción de firmas digitales en todas las versiones de software.
• Solucione las causas principales de muchas vulnerabilidades reemplazando los lenguajes que no son seguros para la memoria (esto puede sonar como un impulso para llevar Rust al kernel de Linux para algunos).
• Establezca un equipo de respuesta a incidentes de OpenSSF que estará compuesto por expertos en seguridad que puedan intervenir para ayudar a los proyectos de código abierto en momentos críticos y hacer que respondan adecuadamente a una vulnerabilidad.
• Acelere el descubrimiento de nuevas vulnerabilidades por parte de mantenedores y expertos con herramientas de seguridad avanzadas. Aquí es probable que nos enfrentemos a la posible competencia de aquellas empresas e instituciones que se den por vencidas al día cero.
• Realice revisiones y auditorías de código de terceros y cualquier otro trabajo una vez al año para cubrir los 200 componentes de código abierto más importantes.
• Coordine el intercambio de datos de la industria de una manera que mejore la investigación para identificar los componentes de código abierto más importantes.
• Mejore las herramientas y la capacitación de Declaración de materiales de software (SBOM) para impulsar la adopción.
• Mejore diez de las herramientas de código abierto más importantes, incluidos los sistemas de compilación, los administradores de paquetes y los sistemas de distribución, con las mejores prácticas y herramientas de seguridad de la cadena de suministro.

Para mejorar la seguridad, la empresa de seguridad de código abierto Chainguard creó Sigstore , un estándar mediante el cual los desarrolladores pueden firmar de forma segura artefactos de software como archivos, imágenes de contenedores, archivos binarios y más. Lejos de ser una canción para el sol, The Linux Foundation, Red Hat y Purdue University lo mantienen y ha sido adoptado por Kubernetes.

La seguridad del software lanzado como código abierto ha sido una preocupación creciente en las últimas décadas. Escándalos como Heartbleed y la vulnerabilidad Apache Log4j han demostrado que muchos proyectos no cuentan con las herramientas necesarias para mantener el nivel de seguridad adecuado, por lo que este tipo de programas son bienvenidos si realmente mejoran la seguridad del software utilizado por los usuarios y la empresa.

Por último, la Casa Blanca tiene una relación más estrecha con el código abierto de lo que parece, hasta el punto de lanzar sus módulos construidos con Drupal, un CMS que quién sabe si todavía usa.