Gigantes vão financiar segurança de software livre de supply chain

Da Redação
14/05/2022

As principais empresas de tecnologia prometem destinar US$ 30 milhões para financiar o Plano de Mobilização de Segurança de Software de Código Aberto nos próximos dois anos com objetivo de reforçar a segurança de software da cadeia de suprimentos.

A Amazon, Ericsson, IBM, Google, Intel, Microsoft e VMware se comprometeram a subsidiar o plano de dez pontos, resultante de duas cúpulas de “Segurança de Software de Código Aberto”, promovidas pela Open Source Security Foundation (OpenSSF) da Linux Foundation, e discussões com funcionários da Casa Branca para avançar no fortalecimento do portfólio de software de código aberto para a cadeia de suprimentos.

A Linux Foundation e a OpenSSF fizeram o anúncio na quinta-feira, 12, após reunião com funcionários da administração Biden e cerca de 90 executivos do setor. “É o começo do que esperamos ser um fundo maior para cobrir os US$ 150 milhões que identificamos”, disse Brian Behlendorf, gerente geral da OpenSSF, em uma teleconferência. Apesar de ter salientado que a quantidade de financiamento que as empresas de tecnologia estão prometendo é significativa na comparação com investimentos anteriores em código aberto, ele admitiu que é uma gota no oceano “quando se compara com o custo de remediar o custo de uma grande vulnerabilidade.

No encontro, o grupo avaliou que serão necessários mais de US$ 150 milhões para tornar o software de código aberto mais seguro. O objetivo é encontrar e corrigir vulnerabilidades como o Log4j mais rapidamente, em um esforço para proteger melhor os Estados Unidos contra ataques cibernéticos maliciosos que exploram plataformas e dispositivos de software inseguros. A comunidade de código aberto, composta em grande parte por voluntários, investe tempo e esforço na criação de código que serve de base para grande parte da computação moderna. Boa parte das empresas do Vale do Silício acabam capitalizando em cima dos repositórios de código aberto para desenvolver seus produtos, com baixo investimento, inclusive com suporte para a criação de código.

O Google Cloud, por exemplo, disse em uma postagem no blog da empresa que criará a uma equipe de manutenção de código aberto, uma equipe dedicada de engenheiros para trabalhar com mantenedores upstream visando aumentar a segurança de vários projetos de código aberto. A empresa também anunciou o lançamento de um novo conjunto de dados projetado para fornecer aos desenvolvedores e mantenedores acesso a informações críticas de software da cadeia de suprimentos por meio do projeto Open Source Insights.

Veja isso
Kubernetes usa Sigstore para proteger a cadeia de suprimentos
Lazarus adquire capacidade de ataque à cadeia de suprimentos

Em um comunicado por e-mail à CybersecurityDive, o CSO do GitHub, Mike Hanley, observou que “a proteção do ecossistema de código aberto começa com a capacitação de desenvolvedores e mantenedores de código aberto com ferramentas e práticas recomendadas que são fundamentais para proteger a cadeia de suprimentos de software”.

Ele garantiu que o GitHub, lar de 83 milhões de desenvolvedores em todo o mundo, está comprometido em avançar os esforços discutidos durante a reunião. Como exemplo, ele cita que a habilitação da autenticação de dois fatores no GitHub.com e no npm ajudou a incentivar o apoio financeiro para desenvolvedores por meio do programa de patrocinadores da plataforma e ofereceu treinamento de segurança gratuito por meio do GitHub Security Lab.

Dez fluxos de financiamento

O plano, além de proteger a produção de software da cadeia de suprimentos de código aberto, visa melhorar a descoberta e a correção de vulnerabilidades, reduzindo o tempo de resposta para correções de falhas por meio de dez fluxos de financiamento:

  • Educação em segurança;
  • Avaliação de risco;
  • Assinaturas digitais;
  • Segurança de memória;
  • Resposta a incidentes;
  • Melhor digitalização;
  • Auditorias de código;
  • Compartilhamento de dados;
  • Lista de materiais de software em todos os lugares;
  • Cadeias de suprimentos aprimoradas.

“Acho que isso realmente garante que todos entendamos a importância do código aberto, o quão produtivo ele nos permitiu ser e nossa obrigação de considerar as implicações de usá-lo”, disse Jamie Thomas, gerente geral de estratégia e desenvolvimento de sistemas da IBM, em declaração ao FedScoop.

O OpenSFF reuniu mais de 90 executivos de 37 empresas e funcionários do Conselho Nacional de Segurança, Gabinete do Diretor Nacional Cibernético, Agência de Segurança Cibernética e Infraestrutura, Instituto Nacional de Padrões e Tecnologia, Departamento de Energia e Escritório de Gestão e Orçamento dos Estados Unidos para para finalizar o plano. O Conselho de Segurança Nacional liderou a primeira cúpula em janeiro. Com agências de notícias e sites internacionais.

Compartilhar: