Τον περασμένο μήνα, ολοκληρώθηκε το Open Source Summit North America (OSS NA) του Linux Foundation, στο οποίο συγκεντρώθηκαν προγραμματιστές, τεχνολόγοι και ηγέτες της κοινότητας από τη βιομηχανία, τον ακαδημαϊκό χώρο και την κυβέρνηση στο Ώστιν του Τέξας, από τις 21 έως τις 24 Ιουνίου για να συζητήσουν για τον ανοιχτό κώδικα. Οι συμμετέχοντες και οι ομιλητές τόνισαν την καινοτομία στον ανοιχτό κώδικα και τις προσπάθειες για τη διασφάλιση ενός βιώσιμου οικοσυστήματος ανοιχτού κώδικα.
Κατά τη διάρκεια του συνεδρίου, αρκετοί ομιλητές εξέτασαν διαφορετικές πτυχές του ζητήματος της ασφάλειας του OSS; – όπως τα OpenSSF Day, Critical Software Summit, SupplyChainSecurityCon, and the Global Security Vulnerability Summit. Συνολικά, η σύνοδος κορυφής έδειξε αυξημένη έμφαση στην ασφάλεια ανοιχτού κώδικα ως κοινοτική προσπάθεια με διάφορους ενδιαφερόμενους φορείς. Εισήχθησαν επίσης πιο φιλόδοξες και καινοτόμες προσεγγίσεις για τον χειρισμό του προβλήματος ασφάλειας ανοιχτού κώδικα – συμπεριλαμβανομένης της συνεργασίας, των εργαλείων και της εκπαίδευσης. Τέλος, η σύνοδος κορυφής τόνισε τη σημασία για τους χρήστες ανοιχτού κώδικα να προσφέρουν στην κοινότητα και να συνεισφέρουν στα έργα από τα οποία εξαρτώνται.
Η ασφάλεια ανοιχτού κώδικα ως προσπάθεια της κοινότητας
Η ασφάλεια ανοιχτού κώδικα δεν είναι απλώς μια μεμονωμένη προσπάθεια από χρήστες ή συντηρητές λογισμικού ανοιχτού κώδικα. Όπως έδειξε το OSS NA, το διακύβευμα της ασφάλειας ανοιχτού κώδικα το έχει μετατρέψει σε μια κοινοτική προσπάθεια, όπου μια μεγάλη ποικιλία διαφορετικών ενδιαφερομένων έχουν ενδιαφέρον και αρχίζουν να εμπλέκονται.
Όπως ανέφερε ο Todd Moore (IBM) στην κεντρική του ομιλία, περιστατικά όπως το log4shell έχουν καταστήσει την ασφάλεια ανοιχτού κώδικα μεγαλύτερη προτεραιότητα για τις κυβερνήσεις – και είναι σημαντικό για τους υπάρχοντες φορείς ανοιχτού κώδικα, τόσο χρήστες όσο και συντηρητές, να εργαστούν ως κοινότητα για να υιοθετήσουν μια συνεκτική γραμμή πάνω σε αυτήν την πρόκληση. Οι ομιλητές σε μια συζήτηση με την Πρωτοβουλία Cyber Statecraft του Atlantic Council και το Open Source Security Foundation (OpenSSF) συζήτησαν για τη σύνοδο κορυφής που πραγματοποιήθηκε από το OpenSSF στην Ουάσιγκτον, DC στις 12 και 13 Μαΐου, όπου εκπρόσωποι από τη βιομηχανία και την κυβέρνηση συναντήθηκαν για να αναπτύξουν το Σχέδιο Κινητοποίησης Ασφαλείας Λογισμικού Ανοικτού Κώδικα, ένα σχέδιο 150 εκατομμυρίων δολαρίων για την καλύτερη διασφάλιση του οικοσυστήματος ανοιχτού κώδικα. Μια συζήτηση σε πάνελ διερεύνησε πώς οι μεγάλες επιχειρήσεις συνεργάζονται για να βελτιώσουν την ασφάλεια της εφοδιαστικής αλυσίδας ανοιχτού κώδικα, ιδιαίτερα μέσω της δομής διακυβέρνησης του OpenSSF.
Νέες προσεγγίσεις για την αντιμετώπιση της ασφάλειας ανοιχτού κώδικα
Το OSS NA παρουσίασε αρκετές πρωτοβουλίες για την αντιμετώπιση θεμελιωδών θεμάτων ασφάλειας ανοιχτού κώδικα, πολλές από τις οποίες ήταν ιδιαίτερα φιλόδοξες και καινοτόμες.
Το έργο Alpha-Omega του OpenSSF ανακοινώθηκε για την αντιμετώπιση ευπαθειών λογισμικού για έργα OSS που είναι πιο κρίσιμα. Ο Eric Brewer (Google) έδωσε μια κεντρική ομιλία συζητώντας το θεμελιώδες πρόβλημα της διασφάλισης λογοδοσίας στην εφοδιαστική αλυσίδα λογισμικού ανοιχτού κώδικα. Ένας τρόπος για να λυθεί αυτό είναι μέσω της επιμέλειας: η δημιουργία ενός αποθετηρίου ελεγμένων και ασφαλών πακέτων. Τα πρότυπα εξακολουθούν να είναι σημαντικά, όπως πάντα: Το Art Manion (CERT/CC) συζήτησε την ιστορία και το μέλλον του προγράμματος CVE, ενώ ο Jennings Aske (Νέα Υόρκη -Presbyterian Hospital) και η Melba Lopez(IBM) συζήτησαν τη σημασία ενός Λογισμικού Bill of Materials (SBOM). Τονίστηκε η σημασία των εργαλείων ασφαλείας, με συζητήσεις για εργαλεία όπως το sigstore, την αυτοματοποίηση των ελέγχων ασφαλείας μέσω της Infrastructure as Code tools και των CI/CD pipelines. Ο David Wheeler (Linux Foundation) συζήτησε πώς η εκπαίδευση στην ανάπτυξη ασφαλούς λογισμικού είναι κρίσιμη για τη διασφάλιση της ασφάλειας λογισμικού ανοιχτού κώδικα. Μαθήματα όπως τα Βασικά Μαθήματα Ασφαλούς Ανάπτυξης Λογισμικού του OpenSSF είναι διαθέσιμα για να βοηθήσουν τους προγραμματιστές να μάθουν αυτό το θέμα.
Δίνοντας πίσω στην κοινότητα
Οι συμμετέχοντες στη σύνοδο κορυφής αναγνώρισαν ότι η ασφάλεια ανοιχτού κώδικα είναι τελικά θέμα κοινότητας, διακυβέρνησης και βιωσιμότητας. Έργα που δεν διαθέτουν τους σωστούς πόρους ή τη δομή διακυβέρνησης ενδέχεται να μην είναι σε θέση να διασφαλίσουν ότι τα έργα τους είναι ασφαλή ή να αποδεχτούν τη σωστή χρηματοδότηση για να το κάνουν.
Ο Steve Hendrick (Linux Foundation) και ο Matt Jarvis (Snyk) συζήτησαν την έκδοση της αναφοράς για την κατάσταση της ασφάλειας ανοιχτού κώδικα για το 2022 από τη Snyk και το Linux Foundation. Η έκθεση σημείωσε ότι το λογισμικό ανοιχτού κώδικα είναι συχνά μονόδρομος όπου οι χρήστες βλέπουν σημαντικά οφέλη με ελάχιστο κόστος ή επένδυση. Συνιστάται στους οργανισμούς να κλείσουν τον βρόχο και να επιστρέψουν σε έργα OSS που χρησιμοποιούν για μεγαλύτερα έργα ανοιχτού κώδικα για να ανταποκριθούν στις προσδοκίες των χρηστών. Η Aeva Black (Microsoft) συζήτησε προσεγγίσεις για τη διαχείριση κινδύνων στην κοινότητα μέσω της σύνταξης και επιβολής ενός κώδικα δεοντολογίας και του τρόπου Η αγνόηση της υγείας της κοινότητας μπορεί να οδηγήσει σε μερικές φορές καταστροφικά τεχνικά αποτελέσματα για έργα OSS. O Sean Goggins (CHAOSS) συζήτησε τη σχέση μεταξύ της υγείας της κοινότητας και του μετριασμού της ευπάθειας σε έργα ανοιχτού κώδικα χρησιμοποιώντας μοντέλα μετρήσεων από τα έργα CHAOSS. Η Margaret Tucker και ο Justin Colannino (GitHub) συζήτησαν τον ρόλο που έχουν τα μητρώα πακέτων στην ασφάλεια ανοιχτού κώδικα, αρχίζοντας να διατυπώνουν ορισμένες αρχές που θα εξισορροπούν αυτά τα ευθύνη των μητρώων για την ασφάλεια και την αξιοπιστία με την ελευθερία και τη δημιουργικότητα των συντηρητών πακέτων. Οι Naveen Srinivasan (Endor Labs) και Laurent Simon (Google) εξερεύνησαν την OpenSSF Scorecard για να αναλύσουν πιο εύκολα την ασφάλεια έργων ανοιχτού κώδικα και να βελτιώσουν προληπτικά την ασφάλειά τους. ο Amir Montazery (OSTIF) συζήτησε τις προσπάθειες του Open Source Technology Improvement Fund να βοηθήσει τους συντηρητές OSS να συνεργαστούν με ειδικούς σε θέματα ασφάλειας για να βελτιώσουν τη στάση ασφαλείας των έργων τους.
Συμπέρασμα
Εν ολίγοις, οι συνομιλίες στο OSS Summit NA βοήθησαν να δημιουργηθεί μια εικόνα του τρόπου με τον οποίο οι βασικοί ενδιαφερόμενοι στο οικοσύστημα λογισμικού ανοιχτού κώδικα –κοινότητες OSS, βιομηχανία, ακαδημαϊκή κοινότητα και κυβέρνηση– σκέφτονται να συλλάβουν θέματα μεγάλης εικόνας και να κατευθύνουν τις προσπάθειες γύρω από την ασφάλεια OSS .
Πηγή άρθρου: https://www.linux.com