Στις 24 Ιανουαρίου 2022, ο Γενικός Διευθυντής Πληροφοριών του Υπουργείου Άμυνας των ΗΠΑ John Sherman δημοσίευσε μνημόνιο για την ηγεσία του Πενταγώνου, τον διοικητή της ακτοφυλακής, τους διοικητές των διοικητών των διοικήσεων των μαχητών, τον Οργανισμό Άμυνας και τους διευθυντές επιτόπιων δραστηριοτήτων του Υπουργείου Άμυνας. Ειδικότερα, παρέχει στο Υπουργείο Άμυνας νέες κατευθυντήριες γραμμές για την ανάπτυξη λογισμικού και λογισμικού ανοιχτού κώδικα, αντιμετωπίζοντας τις ευκαιρίες και τις προκλήσεις που μπορεί να αντιπροσωπεύει ο ανοικτός κώδικας για τον δημόσιο τομέα, καθώς και τον τρόπο με τον οποίο ο τελευταίος θα πρέπει να αλληλεπιδρά.
Ένα τέτοιο μνημόνιο πρέπει να ερμηνευθεί υπό το φως της νέας στρατηγικής εκσυγχρονισμού λογισμικού του Υπουργείου Άμυνας των ΗΠΑ , που ανακοινώθηκε πρόσφατα στις 8 Φεβρουαρίου από την Danielle Metz, αναπληρωτή CIO για τις επιχειρήσεις πληροφοριών και τον Jason Weiss, επικεφαλής λογισμικού του Υπουργείου Άμυνας. Η νέα στρατηγική υπογραμμίζει πράγματι την ανάγκη να εφοδιαστεί ο δημόσιος τομέας με καινοτόμο, ασφαλές και ανθεκτικό λογισμικό, και «αναγνωρίζει ότι πρέπει επίσης να καταστεί διαδεδομένη η ικανότητα ταχείας παράδοσης του ανθεκτικού λογισμικού με ταχύτητα , είτε μέσω της επαναχρησιμοποίησης, της απόκτησης είτε της προσαρμοσμένης ανάπτυξης του ». Στο πλαίσιο αυτό, το νέο μνημόνιο εντάσσεται παράλληλα με τη Στρατηγική, καθώς αναφέρει ότι το λογισμικό ανοιχτού κώδικα «αποτελεί το θεμέλιο του κόσμου που ορίζεται από το λογισμικό και είναι κρίσιμο για την ταχύτερη παροχή λογισμικού», και καλεί το Τμήμα να ορίσει σαφώς «πού και πότε συμμετέχει, συμβάλλει και αλληλεπιδρά με την ευρύτερη κοινότητα της OSS».
Συγκεκριμένα, οι νέες κατευθυντήριες γραμμές για την ανάπτυξη λογισμικού και λογισμικού ανοιχτού κώδικα που επισυνάπτονται στο μνημόνιο απαιτούν πρωτίστως από το Τμήμα να ακολουθεί μια προσέγγιση «υιοθέτησης, αγοράς, δημιουργίας» κατά την προμήθεια λύσεων λογισμικού, υιοθετώντας κατά προτίμηση τις υπάρχουσες κυβερνητικές λύσεις ή λύσεις λογισμικού ανοιχτού κώδικα πριν στραφούν σε ιδιόκτητα συστήματα, και δημιουργώντας μόνο νέο μη εμπορικό λογισμικό όταν δεν υπάρχουν άλλες διαθέσιμες ή κατάλληλες λύσεις για το σκοπό αυτό.
Επιπλέον, οι κατευθυντήριες γραμμές καθορίζουν τις κύριες προκλήσεις που συνδέονται με τη χρήση λογισμικού ανοικτού κώδικα, καθώς και το μοντέλο διακυβέρνησης για την αντιμετώπιση τέτοιων ζητημάτων. Εάν οι διαχειριστές του προγράμματος είναι υπεύθυνοι για την καταλληλότητα συστατικών και του λογισμικού ανοικτού κώδικα, πρέπει να αναζητούν καθοδήγηση από τους μηχανικούς υποστήριξης, τους εξουσιοδοτημένους υπαλλήλους και τους CIOs του οργανισμού όταν αντιμετωπίζουν νέες προκλήσεις, οι οποίες επικεντρώνονται κυρίως στους δυνητικούς κινδύνους της αλυσίδας εφοδιασμού και στην παράνομη αποκάλυψη βασικών καινοτομιών. Και στις δύο περιπτώσεις, αυτό που είναι ζωτικής σημασίας είναι η καθιέρωση τόσο μιας προσεκτικής προσέγγισης διαχείρισης κινδύνων στην αλυσίδα εφοδιασμού (SCRM) για τον εντοπισμό απειλών στον κυβερνοχώρο, όσο και μιας αρθρωτής προσέγγισης ανοικτού συστήματος (MOSA) που προστατεύει τα καινοτόμα συστατικά στοιχεία ως χωριστές ενότητες.
Συνολικά, οι κύριες πηγές απειλών και προκλήσεων που σχετίζονται με την ασφάλεια για τον δημόσιο τομέα όσον αφορά το λογισμικό ανοιχτού κώδικα απαριθμούνται (και δυνητικά επιλύονται) ως εξής:
- Μακροπρόθεσμη υποστήριξη του λογισμικού: η αξιολόγηση της υγείας των έργων ανοιχτού κώδικα πρέπει να υποβληθεί σε ανάλυση παραγόντων κινδύνου που σαρώνει τη σταθερότητα και την κατάσταση δραστηριότητας του λογισμικού, ώστε να διασφαλίζεται ότι το έργο βρίσκεται σε λειτουργία και ότι έχει μια κοινότητα πίσω από τους ελέγχους και τις επικαιροποιήσεις·
- Αξιόπιστες πηγές: η αξιοπιστία της πηγής ενός κώδικα θα πρέπει πάντα να επαληθεύεται. Μια αυστηρή προσέγγιση διασφάλισης λογισμικού, παράλληλα με τις δυναμικές αναλύσεις κώδικα και τις δοκιμές διείσδυσης μετά την ολοκλήρωση των επικαιροποιημένων εκδόσεων, θα βοηθήσει τους διαχειριστές προγραμμάτων να αξιολογήσουν ποιος βρίσκεται πίσω από έναν κώδικα. Στο πλαίσιο αυτό, οι κατευθυντήριες γραμμές απαιτούν να διατηρηθεί υψηλή προτίμηση για τις κοινοπραξίες ή τις εμπορικές οντότητες και όχι για ένα μη αξιόπιστο άτομο·
- Εξαρτήσεις: το λογισμικό συχνά εξαρτάται από επιμέρους στοιχεία (π.χ. plug-ins, βιβλιοθήκες, επεκτάσεις κ.λπ.). Ως εκ τούτου, οι διαχειριστές προγραμμάτων θα πρέπει να διενεργούν αξιολογήσεις των εξαρτήσεων αυτών των υποσυνιστωσών κατά την εξέταση των κινδύνων ασφάλειας που συνδέονται με τα κύρια στοιχεία του λογισμικού, καθώς και να αξιολογούν τυχόν νομικά ζητήματα σχετικά με τις άδειες των εν λόγω υποσυνιστωσών·
- Ασφάλεια συνιστώσας: το λογισμικό ανοιχτού κώδικα υποστηρίζεται ότι είναι πιο ασφαλές σε τέτοιες κατευθυντήριες γραμμές, διότι παρέχει στους διαχειριστές προγραμμάτων μια ανοικτή διαδικασία ανάπτυξης που μπορεί να αξιολογήσει καλύτερα τους κινδύνους ασφάλειας σε σύγκριση με μια κλειστή. Υπάρχουν διάφορα εργαλεία στο πλαίσιο ενός έργου λογισμικού ανοικτού κώδικα τη διενέργεια ελέγχων ασφαλείας, που κυμαίνονται από τη διαφανή αναφορά των τρωτών σημείων ασφαλείας, το ιστορικό των ελέγχων ασφαλείας και την έγκαιρη αποκατάσταση της ευπάθειας, καθώς και τις δοκιμές στον κυβερνοχώρο (π.χ. έλεγχοι τρίτων, δοκιμές κ.λπ.) και την αντιμετώπιση προβλημάτων·
- Ακεραιότητα συστατικών: λαμβάνοντας υπόψη τη σημασία της ακεραιότητας του λογισμικού για τα συστήματα ανοικτού κώδικα, δεδομένου ότι «είναι περισσότερο υποκείμενα στη δημιουργία και τη διανομή τροποποιημένων, ενδεχομένως αναξιόπιστων εκδόσεων, δεδομένης της διαθεσιμότητας του πηγαίου κώδικα», οι κατευθυντήριες γραμμές συνιστούν στους διαχειριστές του προγράμματος να διατηρούν ενεργά την κρυπτογραφικά προστατευμένη επαλήθευση ακεραιότητας για τον κώδικα που κυκλοφόρησε, τα σενάρια, τα αρχεία διαμόρφωσης και τη σχετική τεκμηρίωση για τη μείωση των κινδύνων ασφάλειας·
- Επιρροή των ξένων κυβερνήσεων: ένας γενικός κίνδυνος με το λογισμικό αντιπροσωπεύεται από τους παρόχους τεχνολογίας πληροφοριών και υπηρεσιών που έχουν υποχρεώσεις πληροφόρησης έναντι ξένων κυβερνήσεων και αλλοδαπών υπηρεσιών επιβολής του νόμου. Στο πλαίσιο αυτό, οι κατευθυντήριες γραμμές αναγνωρίζουν ότι ο ανοικτός κώδικας εγγυάται την εξαίρεση από τέτοιους κινδύνους, παρόλο που οι διαχειριστές προγραμμάτων θα πρέπει να εξακολουθούν να γνωρίζουν τη δυνητική διείσδυση ξένων κυβερνήσεων σε έργα ανοικτού κώδικα.
Αυτή δεν είναι η πρώτη προσπάθεια που καταβάλλει το Υπουργείο Άμυνας υπέρ του λογισμικού ανοιχτού κώδικα. Από το 2017,το το Υπουργείο Άμυνας των ΗΠΑ δημοσιεύει έργα ανοιχτού κώδικα μέσω της πρωτοβουλίας Code.mil, η οποία προσπαθεί να ενισχύσει την ανοικτή συνεργασία με την κοινότητα προγραμματιστών σε όλο τον κόσμο σε έργα ανοικτού κώδικα . Περισσότερες πληροφορίες είναι διαθέσιμες στο GitHub.
Πηγή άρθρου: https://joinup.ec.europa.eu/