Linux staje przed wyzwaniem Joe Bidena

Podczas gdy na świecie pojawia się co raz więcej ataków spowodowanych złośliwym oprogramowaniem, Linux Foundation postanawia podjąć się wyzwania zwiększenia jakości cyberbezpieczeństwa.

12 maja prezydent Joe Biden podpisał dekret, mający na celu wzmocnienie cyberbezpieczeństwa zapewnianego przez rząd federalny. W związku z tym Linux Foundation i powiązane z nią organizacje przygotowują się do ulepszenia Linuxa i bezpieczeństwa oprogramowania typu open source. Według zarządzenia, rząd musi zapewnić „integralność i informację o pochodzeniu oprogramowania open source używanego w dowolnej części produktu”. W szczególności musi spróbować dostarczyć zestawienie materiałów oprogramowania (SBOM).

Twórcy oprogramowania często tworzą produkty, łącząc istniejące komponenty oprogramowania open source i komercyjnego. Software Bill of Materials wylicza te komponenty w końcowym produkcie. Jest to analogiczne do listy składników na opakowaniach żywności. Programiści często używają dostępnych składników oprogramowania typu open source i innych firm do tworzenia produktu; SBOM pozwala konstruktorowi upewnić się, że te komponenty są aktualne i szybko reagować na nowe luki. Szeroko stosowany, odczytywalny maszynowo format SBOM zapewnia większe korzyści dzięki automatyzacji i integracji narzędzi.

Firma Tidelift odkryła, że ​​92% aplikacji zawiera komponenty open source. Przeciętna, nowoczesna aplikacja może składać się nawet w 70% z takiego oprogramowania. Tidelift jest firmą, która oferuje usługę dostarczania plików SBOM typu open source. Sama społeczność open source od dawna zajmuje się tym problemem, a w szczególności twórcy projektu Software Package Data Exchange (SPDX), który był prowadzony przez ostatnie dziesięć lat, aby umożliwić przejrzystość oprogramowania. SPDX znajduje się na końcowym etapie przeglądu, aby stać się Międzynarodową Normą ISO / IEC 5962 i obsługuje już aktualne wytyczne dotyczące elementów SBOM w zakresie minimalnych wymagań Narodowej Administracji Telekomunikacji i Informacji (NTIA). Krótko mówiąc, jeśli oprogramowanie typu open source zapewnia SPDX SBOM, to już spełnia wymagania z dekretu prezydenta.

Oprócz SPDX, Linux Foundation ogłosiło niedawno nową usługę podpisywania oprogramowania typu open source: projekt sigstore. Sigstore stara się poprawić bezpieczeństwo łańcucha dostaw, umożliwiając łatwe przyjęcie podpisów oprogramowania kryptograficznego. Programiści mogą bezpiecznie podpisywać komponenty oprogramowania, takie jak pliki wersji, obrazy i pliki binarne. Te zapisy podpisów są następnie przechowywane w zabezpieczonym przed manipulacją dzienniku publicznym. Ta usługa będzie bezpłatna dla wszystkich programistów i dostawców oprogramowania. Kod sigstore i narzędzia operacyjne, które umożliwią to działanie, są nadal rozwijane.