Kommentar: I flera år har vi försökt ta itu med säkerhet på företags- eller organisationsnivå. Det nya Alpha-Omega-projektet verkar ha ett verkligt branschomfattande tillvägagångssätt, och det är lovande.
Säkerhet har alltid varit en osexig investering som tenderar att vara mer vettig i efterhand än i planering. På senare tid, eftersom säkerhetsintrång har blivit den dagliga normen snarare än ett enstaka undantag, har företag och projekt med öppen källkod börjat prioritera säkerhet, även om det förmodligen fortfarande saknas i våra processer för mjukvaruutveckling.
Måste läsa säkerhetstäckning
Problemet med detta tillvägagångssätt är att det förblir atomistiskt, fragmenterat. Som noterats i en nyligen publicerad ZDNet-artikel, “Säkerhetsläget är enormt ojämnt i branschen, med ganska bra säkerhet hos några av de främsta leverantörerna, men de allra flesta … saknar grundläggande säkerhetsinvesteringar.” Detta missar poängen. Säkerhet är inte något som ett företag eller projekt kan göra på egen hand. Det är till sin natur en samhällsangelägenhet.
SE: Lösenordsbrott: Varför popkultur och lösenord inte blandas (gratis PDF) (TechRepublic)
Det är därför jag tycker att några senaste nyheter från Linux Foundation (LF) är uppmuntrande … just för att det inte handlar om Linux Foundation. Eller inte uteslutande, det vill säga.
Nyheten bakom nyheterna
Två saker tillkännagavs. Först lade Open Source Security Foundation (OpenSSF), som verkar under LF, ytterligare 20 medlemmar till sin förteckning. Vad gör dessa medlemmar? Tydligen “hjälper de till att identifiera och fixa säkerhetsbrister i programvara med öppen källkod och utveckla förbättrade verktyg, utbildning, forskning, bästa praxis och praxis för avslöjande av sårbarheter.” I praktiken vill många av dessa företag helt enkelt visa sin oro för säkerheten, men riktigt bra kommer också från sådana organisationer.
Till exempel skulle jag anta att även om OpenSSF nu räknar totalt 60 medlemmar, är sannolikheten att några nyckelmedlemmar (tror Google och Microsoft i det här fallet) kommer att tilldela utvecklare att samarbeta nära med andra OpenSSF-medlemmar för att förbättra säkerheten kring särskilda öppen källkodsprojekt för att undvika scenarier som Log4j-sårbarheten.
Med andra ord, vissa organisationer har råd att investera i säkerhet och har expertresurserna för att göra det. Alla tjänar på när de delar den informationen öppet i ett communityforum.
Den andra aspekten av LF-meddelandet är utan tvekan ännu mer intressant. OpenSSF tillkännagav också Alpha-Omega Project, ett projekt som försöker identifiera alla världens mest kritiska, grundläggande programbibliotek och paket med öppen källkod och granska dem och sedan stödja dem vid behov. Från releasen:
“Projektet förbättrar den globala OSS-försörjningskedjans säkerhet genom att arbeta med projektunderhållare för att systematiskt leta efter nya, ännu oupptäckta sårbarheter i öppen källkod, och fixa dem. “Alpha” kommer att arbeta med underhållarna av de mest kritiska projekten med öppen källkod för att hjälpa dem att identifiera och åtgärda säkerhetsbrister och förbättra deras säkerhetsställning. “Omega” kommer att identifiera minst 10 000 brett utplacerade OSS-projekt där det kan tillämpa automatiserad säkerhetsanalys, poängsättning och korrigeringsvägledning till deras open source-underhållaregemenskaper.”
Finansieras av initiala 5 miljoner dollar från Microsoft och Google, och stöds av Harvard University och LF, denna folkräkning av projekt med öppen källkod hjälper företag när de sammanställer sina programvaruförteckningar, enligt mandat av USA:s verkställande order. Som noterat av folkräkningsförfattarna representerar listorna de har sammanställt vår bästa uppskattning av vilken FOSS [free and open source software] paket är de mest använda av olika applikationer, med tanke på tidsgränserna och den breda, men inte uttömmande, data vi har samlat in.”
SER: Google Chrome: Säkerhets- och användargränssnittstips du behöver veta (TechRepublic Premium)
Det är en imponerande start på välbehövligt arbete, och det är inte fokuserat på någon speciell organisations programvaruprojekt.
Och det är de riktiga nyheterna. Inte den verkställande ordern. Inte Google/Microsofts inblandning. Inte ens LF som tar itu med branschövergripande initiativ. Nej, den verkliga nyheten är att säkerheten är större än någon branschorganisation som LF. De där 10 000 projekt med öppen källkod som LF hjälper till att katalogisera? De flesta sitter inte under LF:s ansvarsområde. Eller Googles. Eller Microsofts. Eller [insert name of any organization].
Säkerhet påverkar alla, men vi har försökt ta itu med det bitvis. Från ett inlägg skrivet av Alpha-Omega-projektledaren och Harvard-professorn Frank Nagle, krävs en hel del arbete för att förbättra säkerhetsställningen för programvara med öppen källkod över projekt. Till exempel finns det inget standardnamnschema över projekt med öppen källkod, vilket leder till förvirring: “Det finns inget centraliserat organ för att koordinera FOSS-komponentnamn, och därför kan det finnas flera komponenter som har samma namn men inte är samma komponent.” Vi har visat att utvecklare med öppen källkod kan fixa problem snabbt när de dyker upp (kanske snabbare än någon annan), men kan vi gå samman för att strukturera projekt på liknande sätt så att vissa onödiga säkerhetsproblem kan undvikas?
Alpha-Omega är en bra start på att försöka lösa sådana problem i hela branschen, snarare än bitvis. Efter Heartbleed hade vi liknande ambitioner att ta itu med våra säkerhetsproblem. Låt oss hoppas att den här gången verkligen är annorlunda … och gemensam.
Avslöjande: Jag arbetar för MongoDB men åsikterna som uttrycks här är mina.
