La comunidad de código abierto establece el camino hacia el software seguro

La comunidad de código abierto ha presentado un plan de 10 puntos para mejorar la seguridad y la resiliencia de su software, reuniendo a más de 90 ejecutivos de 37 organizaciones, junto con funcionarios del gobierno de EE. UU., en una cumbre en Washington DC.

Celebrada un año después de la orden ejecutiva del presidente Biden sobre la mejora de la seguridad cibernética de EE. UU., la Cumbre de seguridad de software de código abierto II fue organizada por la Fundación Linux y la Fundación de seguridad de software de código abierto (OpenSSF).

El plan describe un programa de $ 150 millones (£ 123 millones) de dos años para avanzar en soluciones examinadas a los 10 problemas principales identificados en el plan, así como para establecer un camino firme hacia mejoras más inmediatas y bases para el desarrollo futuro.

Un grupo de empresas, Amazon, Ericsson, Google, Intel, Microsoft y VMware, ya han prometido más de 30 millones de dólares del total necesario, y se identificarán más fondos a medida que el plan se desarrolle más.

“En el primer aniversario de la orden ejecutiva del presidente Biden, hoy estamos aquí para responder con un plan que sea factible, porque el código abierto es un componente crítico de nuestra seguridad nacional y es fundamental para la inversión actual de miles de millones de dólares en innovación de software. ”, dijo el director ejecutivo de la Fundación Linux, Jim Zemlin.

“Tenemos la obligación compartida de mejorar nuestra resiliencia colectiva de seguridad cibernética y mejorar la confianza en el software en sí. Este plan representa nuestra voz unificada y nuestro llamado común a la acción. La tarea más importante que tenemos por delante es el liderazgo”.

El director ejecutivo de OpenSSF, Brian Behlendorf, agregó: “Lo que estamos haciendo aquí juntos es hacer converger un conjunto de ideas y principios de lo que está roto allí y lo que podemos hacer para solucionarlo. El plan que hemos elaborado representa las 10 banderas en el suelo como base para empezar. Estamos ansiosos por recibir más aportes y compromisos que nos lleven del plan a la acción”.

El plan de 10 puntos, que se puede leer completo en el sitio web de OpenSSF, es el siguiente:

  1. Brindar educación y certificación de desarrollo de software seguro de referencia;
  2. Establecer un panel de evaluación de riesgos público, independiente del proveedor y basado en métricas objetivas para 10 000 componentes de software de fuente abierta (OSS) ampliamente utilizados;
  3. Acelerar la adopción de firmas digitales en versiones de OSS;
  4. Para eliminar las causas raíz de muchas vulnerabilidades al reemplazar los lenguajes que no son seguros para la memoria;
  5. Establecer un equipo de respuesta a incidentes respaldado por OpenSSF para ayudar a los proyectos de código abierto a responder a las divulgaciones de vulnerabilidades;
  6. Mejorar la capacidad de los mantenedores y expertos para descubrir nuevas vulnerabilidades en proyectos de código abierto;
  7. Establecer un programa de auditorías de código de terceros y remediación para hasta 200 de los componentes de OSS más críticos;
  8. Para coordinar el intercambio de datos en toda la industria para mejorar la forma en que la comunidad determina cuáles son realmente los componentes de OSS más críticos;
  9. Para mejorar la adopción de herramientas y capacitación de la lista de materiales de software (SBOM);
  10. Y, por último, mejorar los 10 sistemas de compilación, administradores de paquetes y sistemas de distribución de OSS más críticos con herramientas y prácticas mejoradas de seguridad de la cadena de suministro.

Al comentar sobre el plan, Mike Hanley, director de seguridad (CSO) de GitHub, dijo: “Asegurar el ecosistema de código abierto comienza con empoderar a los desarrolladores y mantenedores de código abierto con herramientas y mejores prácticas que son fundamentales para asegurar la cadena de suministro de software.

“Como hogar de 83 millones de desarrolladores en todo el mundo, GitHub está en una posición única y comprometida para avanzar en estos esfuerzos, y hemos continuado con nuestras inversiones para ayudar a los desarrolladores y mantenedores a lograr mejores resultados de seguridad a través de iniciativas que incluyen la aplicación de 2FA en GitHub.com y NPM, fuente abierta de la base de datos de asesoramiento de GitHub, habilitación financiera para desarrolladores a través de los patrocinadores de GitHub y capacitación gratuita en seguridad a través del laboratorio de seguridad de GitHub.

“La seguridad del código abierto es fundamental para la seguridad de todo el software. Summit II ha sido un próximo paso importante para unir nuevamente al sector público y privado y esperamos continuar nuestras asociaciones para tener un impacto significativo en el futuro de la seguridad del software”, dijo.

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales