Comentario:durante años, hemos intentado abordar la seguridad a nivel de empresa u organización. El nuevo Proyecto Alpha-Omega parece estar adoptando un verdadero enfoque de toda la industria, y eso es prometedor.
La seguridad siempre ha sido una inversión poco atractiva que tiende a tener más sentido en retrospectiva que en la planificación. Más recientemente, dado que las infracciones de seguridad se han convertido en la norma diaria en lugar de la excepción ocasional, las empresas y los proyectos de código abierto han comenzado a hacer de la seguridad una prioridad, aunque podría decirse que aún falta en nuestros procesos de desarrollo de software.
Cobertura de seguridad de lectura obligada
El problema con este enfoque es que sigue siendo atomista, fragmentado. Como se señaló en un artículo reciente de ZDNet, "El estado de la seguridad es enormemente desigual en la industria, con una seguridad bastante buena en algunos de los principales proveedores, pero la gran mayoría... carece de inversiones básicas en seguridad". Esto pierde el punto. La seguridad no es algo que una empresa o proyecto pueda hacer por sí solo. Es inherentemente un asunto de la comunidad.
Es por eso que encuentro alentadoras algunas noticias recientes de la Fundación Linux (LF)... precisamente porque no se trata de la Fundación Linux. O no exclusivamente, eso es.
La noticia detrás de la noticia
Se anunciaron dos cosas. Primero, la Open Source Security Foundation (OpenSSF), que opera bajo la LF, agregó otros 20 miembros a su lista. ¿Qué hacen estos miembros? Ostensiblemente, “ayudan a identificar y reparar las vulnerabilidades de seguridad en el software de código abierto y desarrollan mejores herramientas, capacitación, investigación, mejores prácticas y prácticas de divulgación de vulnerabilidades”. En la práctica, muchas de estas empresas simplemente quieren demostrar su preocupación por la seguridad, pero el bien real también proviene de tales organizaciones.
Por ejemplo, supongo que mientras que OpenSSF ahora cuenta con 60 miembros en total, la realidad probable es que algunos miembros clave (piensen en Google y Microsoft en este caso) asignarán desarrolladores para colaborar estrechamente con otros miembros de OpenSSF para mejorar la seguridad en torno a determinados proyectos de código abierto para evitar escenarios como la vulnerabilidad Log4j.
En otras palabras, algunas organizaciones pueden permitirse invertir en seguridad y cuentan con los recursos expertos para hacerlo. Todos se benefician cuando comparten esa información abiertamente en un foro comunitario.
Podría decirse que el segundo aspecto del anuncio de LF es aún más interesante. OpenSSF también anunció el Proyecto Alpha-Omega, un proyecto que intenta identificar todas las bibliotecas y paquetes de software de código abierto fundamentales y más críticos del mundo, auditarlos y luego brindarles soporte según sea necesario. Del lanzamiento:
“El Proyecto mejora la seguridad global de la cadena de suministro de OSS al trabajar con los mantenedores del proyecto para buscar sistemáticamente nuevas vulnerabilidades aún no descubiertas en el código fuente abierto y corregirlas. “Alpha” trabajará con los mantenedores de los proyectos de código abierto más críticos para ayudarlos a identificar y corregir las vulnerabilidades de seguridad y mejorar su postura de seguridad. "Omega" identificará al menos 10 000 proyectos de OSS ampliamente implementados en los que puede aplicar análisis de seguridad automatizados, puntuación y orientación de remediación a sus comunidades de mantenedores de código abierto".
Financiado con $5 millones iniciales de Microsoft y Google, y respaldado por la Universidad de Harvard y LF, este censo de proyectos de código abierto ayuda a las empresas a medida que ensamblan su lista de materiales de software, según lo dispuesto por la orden ejecutiva de EE. UU. Como señalaron los autores del censo, las listas que han compilado “representan nuestra mejor estimación de qué paquetes de FOSS [software libre y de código abierto] son los más utilizados por diferentes aplicaciones, dados los límites de tiempo y la amplia, pero no exhaustiva, , datos que hemos agregado.”
Es un comienzo impresionante para un trabajo muy necesario y no se centra en los proyectos de software de ninguna organización en particular.
Y esa es la verdadera noticia. No la orden ejecutiva. No la participación de Google/Microsoft. Ni siquiera el LF aborda iniciativas intersectoriales. No, la verdadera noticia es que la seguridad es más grande que cualquier organización comercial como LF. ¿Esos 10.000 proyectos de código abierto que la LF está ayudando a catalogar? La mayoría no se sienta bajo el ámbito de LF. O la de Google. O el de Microsoft. O [inserte el nombre de cualquier organización].
La seguridad afecta a todos, pero hemos tratado de abordarla poco a poco. De una publicación escrita por el líder del Proyecto Alpha-Omega y profesor de Harvard, Frank Nagle, se necesita mucho trabajo para mejorar la postura de seguridad del software de código abierto en todos los proyectos. Por ejemplo, no existe un esquema de nomenclatura estándar en los proyectos de código abierto, lo que genera confusión:"No existe un organismo centralizado para coordinar los nombres de los componentes FOSS y, por lo tanto, puede haber varios componentes que tienen el mismo nombre pero no son el mismo componente". Hemos demostrado que los desarrolladores de código abierto pueden solucionar problemas rápidamente cuando surgen (quizás más rápido que nadie), pero ¿podemos unirnos para estructurar proyectos de manera similar, de modo que se puedan evitar algunos problemas de seguridad innecesarios?
Alpha-Omega es un gran comienzo para tratar de resolver estos problemas en toda la industria, en lugar de hacerlo poco a poco. Después de Heartbleed, teníamos ambiciones similares para abordar nuestros problemas de seguridad. Esperemos que esta vez sea realmente diferente... y comunal.
Divulgación:trabajo para MongoDB, pero las opiniones expresadas aquí son mías .
Enlace fuente