Google belicht deelname Open Source Software Security Summit in Witte Huis

15-01-2022 | door: Redactie
Deel dit artikel:

Google belicht deelname Open Source Software Security Summit in Witte Huis

Google heeft samen met andere tech leveranciers deelgenomen aan de Open Source Software Security Summit van het Witte Huis, voortbouwend op hun werk met de regering om de collectieve cyberbeveiliging van Amerika te versterken door middel van kritieke gebieden zoals open source software.

Google meldt: "Industrieën en overheden hebben stappen gezet om de frequente beveiligingsproblemen aan te pakken die legacy, propriëtaire software teisteren. De recente kwetsbaarheid van open source-software van log4j laat zien dat we dezelfde aandacht en toewijding nodig hebben voor het beschermen van open source-tools, die net zo cruciaal zijn.

Open source softwarecode is beschikbaar voor het publiek, gratis voor iedereen om te gebruiken, aan te passen of te inspecteren. Omdat het vrij beschikbaar is, faciliteert open source gezamenlijke innovatie en de ontwikkeling van nieuwe technologieën om gedeelde problemen op te lossen. Dat is de reden waarom het in veel aspecten van kritieke infrastructuur en nationale veiligheidssystemen is opgenomen. Maar er is geen officiële toewijzing van middelen en er zijn weinig formele vereisten of standaarden om de veiligheid van die kritieke code te handhaven. In feite wordt het meeste werk om de beveiliging van open source te behouden en te verbeteren, inclusief het oplossen van bekende kwetsbaarheden, gedaan op ad-hocbasis, op vrijwillige basis.

De softwaregemeenschap heeft te lang getroost met de veronderstelling dat open source-software over het algemeen veilig is vanwege de transparantie en de veronderstelling dat "vele ogen" toekeken om problemen te detecteren en op te lossen. Maar in feite, terwijl sommige projecten veel ogen op hen hebben, hebben anderen er weinig of helemaal geen.

Bij Google hebben we gewerkt aan het vergroten van het bewustzijn van de staat van open source-beveiliging. We hebben miljoenen geïnvesteerd in het ontwikkelen van frameworks en nieuwe beschermende tools. We hebben ook financiële middelen bijgedragen aan groepen en individuen die werken aan het beveiligen van fundamentele open source-projecten zoals Linux. Vorig jaar hebben we, als onderdeel van onze inzet van $ 10 miljard voor het verbeteren van cyberbeveiliging, beloofd om de toepassing van ons Supply chain Levels for Software Artifacts (SLSA of "Salsa") framework uit te breiden om belangrijke open source-componenten te beschermen. Dat omvat $ 100 miljoen ter ondersteuning van onafhankelijke organisaties, zoals de Open Source Security Foundation (OpenSSF), die open source-beveiligingsprioriteiten beheren en kwetsbaarheden helpen oplossen.

Maar we weten dat er in het hele ecosysteem meer werk nodig is om nieuwe modellen te creëren voor het onderhouden en beveiligen van open source-software. Tijdens de bijeenkomst van vandaag hebben we een reeks voorstellen gedeeld om dit te doen:

Kritieke projecten identificeren
We hebben een publiek-private samenwerking nodig om een lijst met kritieke open source-projecten te identificeren — waarbij de kriticiteit wordt bepaald op basis van de invloed en het belang van een project — om te helpen prioriteiten te stellen en middelen toe te wijzen voor de meest essentiële beveiligingsbeoordelingen en verbeteringen.

Op de langere termijn hebben we nieuwe manieren nodig om software te identificeren die een systeemrisico kan vormen - op basis van hoe het zal worden geïntegreerd in kritieke projecten - zodat we kunnen anticiperen op het vereiste beveiligingsniveau en passende middelen kunnen bieden.

Vaststellen van basislijnen voor beveiliging, onderhoud en testen
De groeiende afhankelijkheid van open source betekent dat het tijd is voor de industrie en de overheid om samen te komen om basisnormen vast te stellen voor beveiliging, onderhoud, herkomst en testen - om ervoor te zorgen dat nationale infrastructuur en andere belangrijke systemen kunnen vertrouwen op open source-projecten. Deze normen moeten worden ontwikkeld via een samenwerkingsproces, met de nadruk op frequente updates, continue tests en geverifieerde integriteit.

Gelukkig heeft de softwaregemeenschap een vliegende start. Organisaties zoals OpenSSF werken al in de hele sector aan het creëren van deze standaarden (inclusief ondersteunende inspanningen zoals ons SLSA-framework).

Publieke en private steun vergroten
Veel toonaangevende bedrijven en organisaties beseffen niet hoeveel delen van hun kritieke infrastructuur afhankelijk zijn van open source. Daarom is het essentieel dat we meer publieke en private investeringen zien om dat ecosysteem gezond en veilig te houden. In de discussie van vandaag stelden we voor om een organisatie op te richten die als marktplaats voor open source-onderhoud dient, waarbij vrijwilligers van bedrijven worden gekoppeld aan de cruciale projecten die het meest ondersteuning nodig hebben. Google staat klaar om bronnen aan deze inspanning bij te dragen.

Gezien het belang van digitale infrastructuur in ons leven, is het tijd om er op dezelfde manier over na te denken als over onze fysieke infrastructuur. Open source software is een bindweefsel voor een groot deel van de online wereld - het verdient dezelfde aandacht en financiering die we aan onze wegen en bruggen geven. De bijeenkomst van vandaag in het Witte Huis was zowel een erkenning van de uitdaging als een belangrijke eerste stap om deze aan te pakken. We juichen de inspanningen van de National Security Council, het Office of the National Cyber Director en DHS CISA toe bij het leiden van een gecoördineerde reactie op cyberbeveiligingsuitdagingen en we kijken ernaar uit om ons steentje bij te blijven dragen om dat werk te ondersteunen."

Terug naar nieuws overzicht
Security