После участия в саммите Белого дома компания Google заявила, что хочет расширить сотрудничество с правительством для обеспечения безопасности открытого программного обеспечения.
В четверг компания Google приняла участие в саммите Белого дома по безопасности программного обеспечения с открытым исходным кодом с целью продолжить «работу с администрацией по укреплению коллективной кибербезопасности Америки через такие важные области, как программное обеспечение с открытым исходным кодом».
Прошлый год был особенно неудачным для проблем безопасности открытого ПО, а некоторые из них даже попали в заголовки национальных газет. Этот год начался не намного лучше.
Открытый исходный код сломан
Хотя технически она была обнаружена в декабре, последствия уязвимости Log4j продолжаются и в новом году. Уязвимость в библиотеке регистрации с открытым исходным кодом, широко используемой приложениями и сервисами по всему интернету, позволяет злоумышленникам взламывать системы, красть пароли и логины, извлекать данные и заражать сети вредоносным ПО.
Кент Уокер, президент по глобальным вопросам и главный юридический директор Google & Alphabet, написал в своем блоге:
Промышленность и правительства прилагают усилия для решения частых проблем безопасности, которые часто возникают в устаревшем, проприетарном программном обеспечении.
Недавняя уязвимость программного обеспечения с открытым исходным кодом log4j показывает, что нам необходимо такое же внимание и приверженность к защите инструментов с открытым исходным кодом, которые не менее важны.
Уязвимость Log4j, по-видимому, была совершенно случайной и с тех пор исправлена, хотя многие приложения и сервисы еще не воспользовались ею. Однако некоторые проблемы с открытым исходным кодом вводятся специально.
Только в начале этой недели Developer сообщил о разработчике с открытым исходным кодом, который испортил две из своих популярных библиотек, чтобы бесконечно печатать тарабарские сообщения на консолях пользователей приложений, использующих эти библиотеки, делая их бесполезными. Затем, конечно, было фиаско SolarWinds в прошлом году.
Открытый исходный код — ключевой элемент современной разработки программного обеспечения. Преимущества многочисленны: помогает ускорить выпуск релизов, избежать привязки к поставщику, снизить затраты, повысить прозрачность, а многие проекты имеют отличный дух сообщества (многие также не имеют, но мы будем придерживаться положительных моментов).
Согласно отчету компании Synopsys «Анализ безопасности и рисков открытого исходного кода» (OSSRA) за 2021 год, 98 процентов проверенных кодовых баз содержали как минимум один компонент с открытым исходным кодом, а 75 процентов всех кодовых баз состояли из открытого исходного кода.
Тем не менее, в 84 процентах кодовых баз было обнаружено как минимум по одной уязвимости; в среднем 158 уязвимостей на кодовую базу. Средняя давность обнаруженной уязвимости составила 2,2 года.
Открытый исходный код, поскольку он находится в свободном доступе, способствует совместным инновациям и разработке новых технологий для решения общих проблем. Именно поэтому многие аспекты критически важной инфраструктуры и систем национальной безопасности включают его в себя.
Но нет официального распределения ресурсов и мало официальных требований или стандартов для поддержания безопасности этого критически важного кода. Фактически, большая часть работы по поддержанию и повышению безопасности открытого исходного кода, включая устранение известных уязвимостей, выполняется на разовой, добровольной основе.
Отсутствие оплаты за его работу — одна из причин, по которой вышеупомянутый разработчик с открытым исходным кодом испортил свои собственные библиотеки.
«С уважением, я больше не собираюсь поддерживать компании из списка Fortune 500 (и другие компании меньшего размера) своей бесплатной работой», — написал он в сообщении на GitHub своего проекта. «Воспринимайте это как возможность послать мне шестизначный годовой контракт или форкнуть проект и поручить кому-то другому работать над ним».
Этот вопрос расколол сообщество разработчиков программного обеспечения. Одни отнеслись к этому с пониманием — в конце концов, всем нужно добывать пищу на стол, — а другие были настроены менее благожелательно:
This is fucking irresponsible.
— Vess (@VessOnSecurity) January 9, 2022
If you have problems with business using your free code for free, don’t publish free code.
By sabotaging your own widely used stuff, you hurt not only big business but anyone using it.
This trains people not to update, ‘coz stuff might break. https://t.co/3ulpy9Uhuu
Компания Google выделяет финансовые средства группам и отдельным лицам, работающим с открытым исходным кодом, для их критически важной работы. В прошлом году компания Google обязалась выделить 10 миллиардов долларов в течение следующих пяти лет на «продвижение кибербезопасности» путем устранения некоторых ключевых проблем с открытым исходным кодом и предоставления большего количества тренингов.
В рамках этого обязательства Google выделил 100 миллионов долларов на поддержку независимых организаций, включая Open Source Security Foundation (OpenSSF), которые выполняют благородную работу по устранению уязвимостей открытого исходного кода.
Три предложения по исправлению открытого исходного кода от Google
На саммите, состоявшемся на этой неделе, компания Google поделилась тремя предложениями по улучшению процесса поддержки и защиты открытого исходного кода.
Первое предложение заключается в создании государственно-частного партнерства для определения критически важных проектов. По мнению Google, это поможет расставить приоритеты и направить ресурсы туда, где они, скорее всего, окажут наибольшее положительное влияние.
Следующее предложение — установление базовых показателей безопасности, технического обслуживания и тестирования.
Google уже имеет определенные наработки в этой области, создав SLSA — сквозную структуру для обеспечения целостности цепочки поставок. Эта система поддерживается OpenSSF, организацией, которая уже работает над созданием дальнейших межотраслевых стандартов.
Окончательное предложение заключается в увеличении государственной и частной поддержки.
«В ходе сегодняшней дискуссии мы предложили создать организацию, которая будет служить рынком для обслуживания открытых исходных кодов, объединяя добровольцев из компаний с важнейшими проектами, которые больше всего нуждаются в поддержке», — объясняет Уокер.
«Google готов предоставить ресурсы для этих усилий».
Действия говорят громче слов, и до сих пор действия Google были громкими, поскольку компания вкладывала таланты и значительные финансовые ресурсы в исправление open-source.
Более тесное сотрудничество частного и государственного секторов в области open-source может быть только положительным моментом. Предложения Google, похоже, закладывают прочный фундамент того, как это может выглядеть на практике.