Por favor escuche el artículo
Este audio se genera automáticamente. Háganos saber si tiene algún comentario.
En noviembre de 2021, las ubicuas vulnerabilidades del código de código abierto de código cero han sorprendido a la industria tecnológica y han comenzado los esfuerzos urgentes para garantizar un ecosistema de código abierto, principalmente voluntarios. Casi cuatro años después, el esfuerzo ha hecho avances significativos, pero también se ve obstaculizado por múltiples compensaciones.
Vulnerabilidad de Log4Shell Con una popular herramienta de registro de Java, la administración Biden los ha convencido de centrarse en la seguridad de código abierto y prometió decenas de millones de dólares en mejoras de seguridad a las principales compañías tecnológicas como Amazon, Google y Microsoft. Gran parte de ese trabajo Pasó a través de OpenSSF, la base de seguridad de código abierto de la Fundación Linux He creado muchas herramientas Ayuda a los desarrolladores a analizar y abordar los riesgos del código.
¿Pero qué comenzó? Cumbre de la Casa Blanca Y la ambiciosa industria en general “Plan de movilización” Pronto me encontré con un desafío. La nueva tecnología apetitosa conocida como Generator AI financia el trabajo de los gigantes tecnológicos, y la transición política en los Estados Unidos ha desaparecido. Esfuerzos gubernamentales Para mantener la industria bien.
Superar estos obstáculos y duplicar la seguridad de código abierto es esencial, dijeron los expertos en ciberseguridad, considerando cómo se está extendiendo el código a través de todo, desde la infraestructura crítica hasta la informática del hogar cotidiana.
Jack Cable, ex asesor técnico senior de la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA), que trabajó en seguridad de código abierto, dijo:
Avances de seguridad de código abierto
Desde principios de 2022, la infusión de recaudación de fondos y atención ha hecho importante mejorar la seguridad de código abierto.
Uno de los desarrollos más importantes fue la campaña para mejorar. Seguridad del repositorio de paquetes de código abierto. El repositorio es “el último punto de distribución para la mayoría del software que se consume”, dice David Nalley, director de experiencia de desarrollador en Amazon Web Services, que ayudó a financiar mejoras en estas plataformas críticas. Christopher Robinson, arquitecto de seguridad jefe de OpenSSF, dijo que el objetivo de este trabajo es garantizar que todos los proyectos dentro de estos ecosistemas hereden fuertes prácticas de seguridad.
Amazon también ayudó a los desarrolladores detrás de la Biblioteca de cifrado TLS para la adopción del lenguaje de programación seguro Algoritmos criptográficos que cumplen con los estándares federaleslo que facilita que las organizaciones necesiten cumplir con estos criterios, incluidas las empresas en las industrias reguladas, para usar el código seguro de memoria.
Robinson destacó OpenSSF Proyecto SigStorepara que los desarrolladores puedan firmar el código digitalmente para evitar la manipulación. También elogió a las compañías de alta tecnología por incorporar expertos en seguridad en comunidades construidas en torno a lenguajes de programación específicos y actuar como “embajadores” para un grupo de ecosistemas más amplio.
Utilizando su autoridad y reputación de expertos, la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) utilizó su autoridad y revisiones de expertos para unir entre las agencias utilizando el código fuente abierto, y los desarrolladores la crearon.
“[En realidad]hicimos posible que las personas se conecten entre sí cuando ocurrió el incidente”, dijo Cable, ahora CEO y cofundador de la compañía de seguridad de codificación de IA Corridor. Dijo que estos esfuerzos valieron la pena en 2024. Xz esta en peligroun actor malicioso usó la ingeniería social para engañar a los desarrolladores abrumados y plantó en puros en paquetes ampliamente utilizados.
Quizás lo más importante es que las empresas que dependen del embalaje de código abierto son cada vez más responsables de garantizar que los desarrolladores de código abierto sean seguros en lugar de tratarlos como mano de obra no remunerada.
Según Arnaud Le Hors, miembro del personal técnico senior de las tecnologías abiertas de IBM, los desarrolladores de código abierto han sentido durante mucho tiempo que las empresas están siendo explotadas por las empresas que usan su código. Ahora, más empresas “son conscientes de que no podemos confiar en toda la comunidad para arreglar las vulnerabilidades en los paquetes de código abierto que hemos decidido usar en nuestros productos”.
“Ha sucedido mucho buen trabajo en los últimos años”, dijo Cable, “aun así, todavía está sucediendo muchas cosas”.
Disminución de la inversión
Después de log4shell revela el estado inestable del ecosistema de código abierto, una importante compañía de alta tecnología Se reunieron con funcionarios de la administración Biden y Promedí más de $ 30 millones Servicios de soporte, infraestructura y personal.
Sin embargo, si bien los esfuerzos de la compañía han producido varios resultados, los expertos dijeron que no han cumplido con las expectativas.
AEVA Black, quien dirigió el programa de seguridad de código abierto de CISA durante dos años, ha llevado a “mucha decepción” y el compromiso de la compañía de alta tecnología “no está sucediendo en la cantidad prometida”. Además, muchas otras compañías no tienen compromiso, dijo Cable. Porque “no reconocen el valor de estar fuera de software de código abierto todavía” y “no piensen en cómo interactúan con los mantenedores.
Amazon, uno de los principales financiadores más grandes del trabajo de OpenSSF, dijo que “invertimos más inversiones que las que hemos tenido desde el log 4 Shell”, pero esa inversión “evolucionó porque aprendimos qué funciona y qué no funciona.
A medida que las empresas han reducido sus ambiciones, el gobierno de los Estados Unidos está avanzando desde el sector bajo el presidente Donald Trump. El trabajo de código abierto “se ralentizó bajo la nueva administración”, dijo Le Horse.
La administración de Biden ha prometido $ 11 millones “Estas promesas no se han aprobado”, dijo Black en un esfuerzo por la seguridad de código abierto en agosto pasado.
Administración de Trump Cortar a CISA y partida Se han eliminado esencialmente los expertos del cable negro, el cable y otros sujetos ampliamente respetados. Trabajo de agencia de seguridad de código abierto.
La defensa de CISA ayudó a los expertos de código abierto de las compañías tecnológicas a “seguir sus compromisos” y persuadir a los empleadores para que se conviertan en participantes más activos en la comunidad.
En el futuro, Cable dijo: “No está claro qué nivel de participación en la CISA y, en general, es el gobierno federal”.
CISA sigue siendo “centrada en el láser” en seguridad de código abierto, dijo Marci McCarthy, directora de relaciones públicas de la agencia. “El software de código abierto es un bloque de construcción crítico en la cadena de suministro de software, tanto para el gobierno federal como para la infraestructura crítica de los Estados Unidos”, dijo McCarthy. “Podemos tener un equipo talentoso en CISA dedicado a comprender y mitigar los riesgos del software de código abierto”.
Operai anula accidentalmente todo
El 30 de noviembre de 2022, solo unos meses después de la iniciativa de seguridad de OpenSSF, Operai lanzó ChatGPT. Las compañías tecnológicas tenían prisa por adoptar esta tecnología, ya que los chatbots de IA del generador atrajeron al público. Y alrededor de ese tiempo, Black dijo que algunas de las grandes empresas que hicieron la promesa de “seguridad de código abierto” comenzaron a reasignar a los desarrolladores para que la seguridad de código abierto y las herramientas de IA “.
En los próximos años, Black dijo que la seguridad de código abierto cayó en la carretera cuando las empresas crearon “grandes pivotes para duplicar la IA”.
La mayoría de los expertos en Microsoft que trabajaban en seguridad de código abierto cuando Black estaba en la compañía y CISA “ahora se mudaron al equipo de IA”, dijeron. Recordaron cuando CISA los estaba reclutando de Microsoft, y el equipo de la compañía fue “recogido por el trabajo de IA y reasignado”.
Según Black, el personal legal y de políticas de Microsoft, que apoyó los trabajos de código abierto, también ha sido reasignado a la IA, y la subsidiaria de Microsoft Github “ha hecho un gran cambio”, dijo Black.
Tanto Microsoft como Google “aparentemente reasignan los recursos humanos de este esfuerzo”, dijo Black.
Microsoft no disputó la cuenta negra, pero Ryan Waite, director del ecosistema de código abierto y la incubación de código abierto, dijo que la compañía sigue siendo. Estoy profundamente involucrado En el ecosistema. Un portavoz de Google dijo que “continúa invirtiendo una cantidad significativa de recursos y experiencia” en seguridad de código abierto.
Algunos expertos creen que la IA mejorará la seguridad de código abierto al acelerar dramáticamente el proceso de encontrar y arreglar vulnerabilidades. Recientemente, la Oficina de Proyectos de Investigación de Defensa Avanzada (DARPA) La competencia de premios ha terminado, Celebrada en cooperación con OpenSSFdesarrolla un software de detección de vulnerabilidad equipado con IA.
Pero otros no son optimistas. Negro puntiagudo Historia de reunión molesta Por el desarrollador del paquete curl ampliamente utilizado. “Está bajo el agua”, dijo Black. “Me abrumó el desarrollador con sede en AI Slop. Proponen parches claramente escritos por herramientas genéricas de IA que son basura, y él tiene que examinarlos y continuar rechazándolos”.
Problemas no resueltos
Los expertos que ven diferentes títulos de compromiso dicen que una amplia gama de problemas de seguridad de código abierto sigue sin resolver.
Uno de los problemas más serios es que los desarrolladores de software, incluidos los desarrolladores de software, Suministro al ejército estadounidense – A menudo no sabe de dónde proviene el código que usa. “La gente no tiene mucha información sobre lo que están consumiendo”, dijo Nary. Este problema es particularmente severo ya que hay muchos paquetes en un software. Promedio 180según Sonatype, y por lo inestables que son muchos de estos paquetes. Casi cuatro años después de la vulnerabilidad ampliamente publicitada en LOG4J, la versión defectuosa aún representa el 13% de todas las descargas en el paquete, dijo Robinson.
Proyecto de cuadro de mando de OpenSSF Los desarrolladores pueden ayudar a abordar estos riesgos de “dependencia”, dijo Nary. Factura de materiales de software (SBOMS) también ayuda a iluminar dependencias de paquetes, pero Black dice que el código abierto es menos complejo que ideal.
Identificar y apoyar los proyectos más elegidos pero importantes sigue siendo otro desafío importante. Varios proyectos que respaldan a todo Internet son Uno o dos voluntarios. “Necesitamos invertir allí”, dijo Nary. Harvard Business School aborda este problema Encuesta censal regular.
La crisis de XZ Utils subrayó la importancia de reducir la brecha de confianza en el proyecto y comprender la fuente de todo el código, dijo Le Hors de OpenSSF Nivel de cadena de suministro de artefactos de software (SLSA) Ayuda de proyectos.
Las empresas de alta tecnología enfrentan desafíos de adopción al reescribir paquetes en lenguajes de programación seguros de memoria. “Muchos (paquetes) tratamos de reescribir no vieron (importante) adopción”, dijo Nary. Su equipo Ayudó con la reescritura Paquetes de sudo muy importantes Lo alentaron a incorporarse a la distribución de Linux, pero dijeron que tenía demasiadas dependencias, por lo que el equipo tuvo que rehacerla.
También queda más trabajo para proteger el repositorio de paquetes. “Invertir en plomería es realmente importante”, dijo Nary.
Incluso si el trabajo en los EE. UU. Se ralentiza, otros gobiernos no se quedan quietos. Nueva ley de la Unión Europea Haga que las empresas responsables de garantizar el código de código abierto que enumeran.
“Hemos progresado mucho desde el problema de log4shell”, dijo Le Hors. “Afortunadamente, todavía estamos avanzando ya que Estados Unidos no es el mundo entero”.
