ღია კოდის საზოგადოება ადგენს გზას უსაფრთხო პროგრამული უზრუნველყოფისკენ

ღია კოდის საზოგადოებამ წარმოადგინა 10 პუნქტიანი გეგმა თავისი პროგრამული უზრუნველყოფის უსაფრთხოებისა და მდგრადობის გასაუმჯობესებლად, რომელიც აერთიანებს 37 ორგანიზაციის 90-ზე მეტ აღმასრულებელს აშშ-ს მთავრობის წარმომადგენლებთან ერთად ვაშინგტონში გამართულ სამიტზე.

აშშ-ის კიბერუსაფრთხოების გაუმჯობესების შესახებ პრეზიდენტ ბაიდენის აღმასრულებელი ბრძანებიდან ერთი წლის შემდეგ, ღია კოდის პროგრამული უზრუნველყოფის უსაფრთხოების სამიტი II მოეწყო Linux Foundation-ისა და Open Source Software Security Foundation-ის (OpenSSF) მიერ.

გეგმა ასახავს ორწლიან, 150 მილიონი აშშ დოლარის (123 მილიონი ფუნტი) პროგრამას გეგმაში გამოვლენილი 10 ძირითადი პრობლემის შემოწმებული გადაწყვეტის წინსვლისთვის, ასევე მტკიცე გზის დასამკვიდრებლად, როგორც უფრო მყისიერი გაუმჯობესებისა და მომავალი განვითარების საფუძველი.

კომპანიების ჯგუფმა, Amazon-მა, Ericsson-მა, Google-მა, Intel-მა, Microsoft-მა და VMware-მა უკვე დაჰპირდა 30 მილიონ დოლარზე მეტი საჭირო თანხიდან, ხოლო გეგმის შემდგომ განვითარებასთან ერთად უნდა გამოვლინდეს მეტი დაფინანსება.

„პრეზიდენტ ბაიდენის აღმასრულებელი ბრძანების ერთი წლის იუბილეზე, დღეს ჩვენ აქ ვართ, რათა ვუპასუხოთ მოქმედების გეგმით, რადგან ღია წყარო ჩვენი ეროვნული უსაფრთხოების მნიშვნელოვანი კომპონენტია და ის ფუნდამენტურია იმისთვის, რომ მილიარდობით დოლარის ინვესტიცია განხორციელდეს დღეს პროგრამულ ინოვაციებში. ”, – თქვა Linux Foundation-ის აღმასრულებელმა დირექტორმა ჯიმ ზემლინმა.

„ჩვენ გვაქვს საერთო ვალდებულება, გავაუმჯობესოთ ჩვენი კოლექტიური კიბერუსაფრთხოების მდგრადობა და გავაუმჯობესოთ ნდობა თავად პროგრამული უზრუნველყოფის მიმართ. ეს გეგმა წარმოადგენს ჩვენს ერთიან ხმას და ჩვენს საერთო მოწოდებას მოქმედებისკენ. ჩვენთვის ყველაზე მნიშვნელოვანი ამოცანა ლიდერობაა“.

OpenSSF-ის აღმასრულებელმა დირექტორმა ბრაიან ბეჰლენდორფმა დაამატა: „რასაც ჩვენ ერთად ვაკეთებთ აქ არის იდეებისა და პრინციპების ერთობლიობა იმის შესახებ, თუ რა არის იქ გავრცელებული და რისი გაკეთება შეგვიძლია მის გამოსასწორებლად. ჩვენ მიერ შედგენილი გეგმა წარმოადგენს 10 დროშას მიწაში, როგორც დასაწყებად. ჩვენ მზად ვართ მივიღოთ შემდგომი ინფორმაცია და ვალდებულებები, რომლებიც გადაგვაქვს გეგმიდან მოქმედებაზე.”

10-პუნქტიანი გეგმა, რომელიც სრულად შეგიძლიათ წაიკითხოთ OpenSSF-ის ვებსაიტზე, ასეთია:

1. უზრუნველყოს საბაზისო უსაფრთხო პროგრამული უზრუნველყოფის განვითარების განათლება და სერტიფიცირება;
2. საჯარო, მიმწოდებლის მიმართ ნეიტრალური, ობიექტურ მეტრიკაზე დაფუძნებული რისკის შეფასების დაფის შექმნა 10000 ფართოდ გამოყენებული ღია კოდის პროგრამული უზრუნველყოფის (OSS) კომპონენტისთვის;
3. ციფრული ხელმოწერების მიღების დაჩქარება OSS გამოშვებებზე;
4. მრავალი დაუცველობის ძირეული მიზეზების აღმოფხვრა მეხსიერებისთვის უსაფრთხო ენების ჩანაცვლებით;
5. შექმენით OpenSSF-ის მხარდაჭერილი ინციდენტების რეაგირების ჯგუფი, რომელიც დაეხმარება ღია კოდის პროექტებს უპასუხონ დაუცველობის გამჟღავნებას;
6. გააუმჯობესოს შემსრულებლებისა და ექსპერტების უნარი, აღმოაჩინონ ახალი დაუცველობა ღია კოდის პროექტებში;
7. მესამე მხარის კოდის აუდიტისა და გამოსწორების პროგრამის შექმნა 200-მდე ყველაზე კრიტიკული OSS კომპონენტისთვის;
8. ინდუსტრიის მასშტაბით მონაცემთა გაზიარების კოორდინაცია, რათა გააუმჯობესოს საზოგადოება, რათა განსაზღვროს, თუ რა არის რეალურად ყველაზე კრიტიკული OSS კომპონენტები;
9. გააუმჯობესოს პროგრამული უზრუნველყოფის მასალების ანგარიშგების (SBOM) ინსტრუმენტები და ტრენინგები;
10. და ბოლოს, 10 ყველაზე კრიტიკული OSS build სისტემის, პაკეტების მენეჯერებისა და სადისტრიბუციო სისტემების გაძლიერება მიწოდების ჯაჭვის უსაფრთხოების გაუმჯობესებული ინსტრუმენტებითა და პრაქტიკით.

გეგმის კომენტირებისას, მაიკ ჰენლიმ, უსაფრთხოების მთავარმა ოფიცერმა (CSO) GitHub-ში, თქვა: „ღია კოდის ეკოსისტემის დაცვა იწყება დეველოპერებისა და ღია კოდის შემქმნელების გაძლიერებით ინსტრუმენტებითა და საუკეთესო პრაქტიკით, რომლებიც ხელსაყრელია პროგრამული უზრუნველყოფის მიწოდების ჯაჭვის უზრუნველსაყოფად.

„როგორც 83 მილიონი დეველოპერი მთელს მსოფლიოში, GitHub არის ცალსახად პოზიციონირებული და მოწოდებულია ამ ძალისხმევის წინსვლისთვის, და ჩვენ გავაგრძელეთ ინვესტიციები, რათა დავეხმაროთ დეველოპერებსა და შემსრულებლებს გააცნობიერონ უსაფრთხოების გაუმჯობესებული შედეგები ინიციატივების მეშვეობით, მათ შორის 2FA აღსრულების GitHub.com-ზე და NPM-ზე. GitHub საკონსულტაციო მონაცემთა ბაზის ღია წყაროს მიღება, დეველოპერებისთვის ფინანსური გააქტიურება GitHub სპონსორების მეშვეობით და უსაფრთხოების უფასო ტრენინგი GitHub Security Lab-ის მეშვეობით.

”ღია კოდის უსაფრთხოება გადამწყვეტია ყველა პროგრამული უზრუნველყოფის უსაფრთხოებისთვის. სამიტი II იყო მნიშვნელოვანი შემდეგი ნაბიჯი კერძო და საჯარო სექტორის ხელახლა გაერთიანებაში და ჩვენ მოუთმენლად ველით გავაგრძელოთ ჩვენი პარტნიორობა, რათა მნიშვნელოვანი გავლენა მოვახდინოთ პროგრამული უზრუნველყოფის უსაფრთხოებაზე მომავალზე“, – თქვა მან.