El software de código abierto se encuentra entre los tipos de software más importantes que existen y está disponible para que prácticamente todos lo utilicen y modifiquen en todos los casos de uso. Por lo tanto, fortalecer los parámetros de seguridad detrás de dicho software es primordial, dado no sólo su amplio uso sino también los tipos de empresas y negocios que los utilizan para propósitos específicos.
En medio de una reunión celebrada en Washington DC la semana pasada, algunos de los gigantes tecnológicos más destacados se tomaron este concepto muy en serio. La reunión se llevó a cabo a través de la Open Source Security Foundation (OpenSSF) junto con la Linux Foundation, lo que subraya la importancia de la seguridad del software de código abierto. Dichos gigantes tecnológicos repasaron las formas en que están reforzando la seguridad detrás de su software de código abierto utilizado en la cadena de suministro, que se ha convertido en uno de los puntos focales más importantes para las empresas presentes, como Microsoft, Amazon, Google, VMware, Intel, Ericsson y casi 29 más.
El Plan de Movilización de Seguridad de la Cadena de Suministro de Software, que consta de 10 puntos, acuñó la friolera de 30 millones de dólares en financiación para ayudar a fortalecer la seguridad en el software de código abierto. Está diseñado para mejorar y mejorar dicho software en varios frentes, como detección de vulnerabilidades, seguridad de producción de código fuente, remediación de ataques específicos, tiempos de parche más cortos y más. La iniciativa incluirá incluso un SBOM completo, o lista de materiales de software, para ayudar a todas las diversas empresas de tecnología de la industria a ser testigos de toda la gama de software utilizado en las pilas de tecnología de las empresas.
La reunión en sí es una continuación de una reunión en la Casa Blanca en enero tras la Vulnerabilidad de día cero de Log4Shell, que afectó a la biblioteca Log4j de Apache, poniendo en riesgo una multitud de dispositivos variados en todo el mundo. La biblioteca Log4j es una utilidad de registro basada en Java que se utiliza en un montón de dispositivos y empresas diferentes, siendo el principal AWS de Amazon, lo que hace que la vulnerabilidad sea una circunstancia bastante grave, que incluso puede todavía tengo problemas sin parchear.
Además de recaudar capital y apoyar la postura de seguridad del software de código abierto, la iniciativa antes mencionada también intentará reforzar el conocimiento inherente que rodea a tales prácticas. Si bien el software de código abierto es definitivamente útil y necesario, la mayoría de las veces la seguridad detrás de él es bastante inexistente. Aquí es donde el plan SSCSM busca remediar las preocupaciones a través de educación sobre seguridad, eliminando lenguajes de programación seguros sin memoria, como COBOL y C+, y reuniones anuales para revisiones de código de terceros de más de 200 de las ofertas de software de código abierto más problemáticas disponibles. .
La división Cloud de Google anunció la creación de un equipo de mantenimiento de código abierto que esencialmente agregaría soporte a los encargados de mantenimiento con ingenieros inteligentes para fortalecer la seguridad en todos los ámbitos de la comunidad de código abierto. El principal impulso detrás de esta iniciativa es encontrar y detener las vulnerabilidades observadas con Log4Shell antes de que ocurran, protegiendo a los EE. UU. de ataques de malware y a las empresas del software de explotación.
ⓒ 2023 . .
