作者:David A. Wheeler,Linux基金会
开源软件(OSS)被广泛使用。2022年Synopsis的一项调查发现 78%的代码 在这些代码库中,有81%的代码库在其使用的OSS中至少包含一个已知的漏洞。如果说我们从Log4j的Log4Shell漏洞中只学到了一件事,那就是关键的OSS漏洞会导致严重的问题。认识到开放源码软件作为关键基础设施所发挥的作用,OpenSSF赞助了 关键基础设施安全峰会 2022年9月在华盛顿特区举行。峰会由国防战略研究所组织,重点是确保美国基础设施对网络攻击、威胁和入侵的复原力。确保关键OSS组件和基础设施的安全是确保关键基础设施安全的一个重要部分。
关键基础设施安全峰会
峰会涉及的主题包括传统和非传统的基础设施--从保护石油和天然气工业系统到通过现代化优先考虑网络防御。在我在关键基础设施安全峰会上的演讲中,我描述了大规模的开放源码软件是如何成为关键基础设施并应被如此对待。软件,不管是开放的还是封闭的,都影响着所有关键基础设施部门,包括 由CISA确定的16个项目 作为资产、系统和网络,被认为是非常重要的,其中断会对国家安全、经济或健康和安全产生破坏性影响,包括。
- 化学
- 商业设施
- 通讯
- 关键制造
- 水坝
- 国防工业基地
- 紧急服务
- 能源
- 金融服务
- 食品和农业
- 政府设施
- 医疗保健和公共卫生
- 信息技术
- 核反应堆、材料和废物
- 运输系统
- 水和污水处理系统
不幸的是,所有的软件都在通过漏洞和供应链受到攻击。
开源是关键的基础设施
开放源代码是软件供应链的一个重要组成部分,世界各地的政府都承认开放源代码的重要性。在美国,关于开放源代码的行政命令(EO)14028。 改善国家的网络安全,2021年5月12日发布,以及 白宫关于软件安全的会议在2022年年初,我们在 "Log4Shell之后 "举行了一次会议,这表明大家对寻找解决方案以确保开放源码软件安全的最紧迫挑战的兴趣增加。在这次会议之后,我们又召开了第二次 开源软件安全峰会 召集行业和政府领导人,就提高开源软件的弹性和安全性所应采取的关键行动达成共识,并由此发布了《开源软件安全指南》。 开源安全动员计划 该报告描绘了一个全面的组合,包括十个行动方案,以加强软件供应链的安全。最近,我们看到美国政府讨论了更多的步骤,以解决软件供应链中的网络安全挑战。 确保开源软件的安全法 这是在2022年9月21日推出的。
当我们考虑开放源码关键基础设施时,我们必须牢记,并非所有的开放源码软件都同样重要,但一些开放源码软件(及其支持的基础设施)是 非常 关键。OpenSSF正在进行一些倡议,以确定和填补最关键的开源软件的安全实践中的差距。比如说。
- 开放式安全论坛 确保关键项目工作组的安全 是确定最关键的开放源码软件
- 开放式安全论坛 α-Omega项目 正在与一些最关键的开放源码软件项目合作,以提高安全性,此外,它正在努力识别和报告前10,000个开放源码软件项目的漏洞。
- OpenSSF提供免费的教育资源,如基础知识课程 开发安全软件 和课程 用Sigstore保证你的软件供应链的安全
- 开放式安全论坛 最佳实践工作小组 最近发布了两份新的简明指南,用于 开发更安全的软件 和 评估开放源码软件
- 开放的SSF 记分卡,OpenSSF 最佳实践奖章,以及 SLSA 提供机制来评估开放源码软件
我在2022年9月28日至29日在华盛顿特区举行的关键基础设施安全峰会上的发言,最后呼吁任何对改善开放源码软件安全,包括其供应链安全感兴趣的人,请 参与进来!开放源码越是成为关于使关键基础设施能够抵御威胁的正常对话的一部分,我们就越能通过公私合作提供有效的解决方案并保护我们的生活方式。
