Gedreven door kwetsbaarheden in wijdverbreide software die organisaties over de hele wereld treffen, heeft de Amerikaanse regering op 13 januari in het Witte Huis een ontmoeting gehad met de open source-gemeenschap en grote softwarebedrijven om manieren te vinden om de innovatieve software-ontwikkelingsgemeenschap te ondersteunen en tegelijkertijd de kans te verkleinen dat van toekomstige beveiligingsfouten in veelvoorkomende softwarecomponenten.
De White House Software Security Summit bracht functionarissen van de verschillende overheidsinstanties die zich bezighouden met nationale veiligheid en technologie samen met vertegenwoordigers van grote softwarebedrijven - waaronder Akamai, Amazon, Apple, GitHub, Google, Meta, Microsoft en RedHat - evenals leden van de open source softwaregemeenschap, zoals de Apache Software Foundation en de Linux Foundation.
De top was gericht op het vinden van manieren om "beveiligingsdefecten en kwetsbaarheden in code en open source-pakketten te voorkomen, het proces voor het vinden van defecten en het oplossen ervan te verbeteren en de responstijd voor het distribueren en implementeren van fixes te verkorten", zei de Biden-administratie in een verklaring.
De kern van de discussie is echter hoe de innovatieve ontwikkeling van open source-gemeenschappen kan blijven floreren terwijl de inspanningen om veilige software te maken en de patching te versnellen in het licht van kwetsbaarheden, worden verbeterd.
"Open source software heeft een unieke waarde en heeft unieke beveiligingsuitdagingen, vanwege het brede gebruik en het aantal vrijwilligers dat verantwoordelijk is voor het voortdurende beveiligingsonderhoud." de administratie verklaarde:. “Deelnemers hadden een inhoudelijke en constructieve discussie over hoe ze een verschil kunnen maken in de beveiliging van open source software, terwijl ze effectief betrokken zijn bij en ondersteuning bieden aan de open source-gemeenschap.”
De top vond plaats terwijl bedrijven nog steeds moeite hebben om een significante kwetsbaarheid te vinden en te patchen in het Log4j-logging-framework voor Java-applicaties, dat veel wordt gebruikt in bedrijfsapplicaties. Meer dan 80% van de Java-applicaties op de Maven Central Repository, een veelgebruikte pakketbeheerrepository, had Log4j als afhankelijkheid — wat betekent dat die Java-applicaties en componenten waarschijnlijk kwetsbaar zijn. Hoewel de kwetsbaarheid nog niet tot een groot compromis heeft geleid, volgens Amerikaanse functionarissen, zal het probleem waarschijnlijk jaren duren om te verhelpen vanwege de alomtegenwoordigheid ervan.
Een lange geschiedenis van wijdverbreide vulns
Kwetsbaarheid in wijdverbreide softwarepakketten is niet nieuw. De 2014 Heartbleed-kwetsbaarheid in OpenSSL en 2018 SPECTRE en Meltdown-kwetsbaarheden aangetoond dat beveiligingsproblemen die worden aangetroffen in alomtegenwoordige software en firmware lange staarten hebben.
"De wereld draait op software, die op zijn beurt afhankelijk is van open source, [wat] betekent dat kwetsbaarheden in open source-code een wereldwijd rimpeleffect kunnen hebben op de miljarden ontwikkelaars en services die ervan afhankelijk zijn", Mike Hanley, chief security officer op GitHub, zei in een verklaring op de top. "We hebben gezien hoe slechts een of twee regels kwetsbare code in een oogwenk een dramatische impact kunnen hebben op de gezondheid, veiligheid en betrouwbaarheid van hele systemen."
De top was bedoeld om manieren voor overheid en industrie om samen te werken om de beveiliging van open source-code te verbeteren, zoals het integreren van beveiligingsfuncties in tools en services voor ontwikkelaars en het waarborgen van de integriteit van de platforms die worden gebruikt om pakketten op te slaan en te distribueren. De eerste inspanningen zullen waarschijnlijk gericht zijn op manieren om de beveiliging van populaire en kritieke open source-softwareprojecten en -pakketten te verbeteren en de acceptatie van softwaremateriaallijsten te versnellen, zodat ontwikkelaars en bedrijven hun afhankelijkheden kunnen volgen.
"Dit begint allemaal met een gezamenlijke inspanning om de zichtbaarheid van het gebruik van open source software te vergroten", zegt Boaz Gelbord, chief security officer bij Akamai. "Overheidsorganisaties en organisaties uit de particuliere sector moeten investeren in tools die de afhankelijkheid van open source-technologieën onthullen en, cruciaal, actie ondernemen om risico's te verminderen en in te dammen om de veiligheid van het ecosysteem in het algemeen te versterken."
De inspanningen zullen een evenwicht zijn tussen het handhaven van de innovatieve en standaardiserende inspanningen van onafhankelijke open source-ontwikkeling en het afdwingen van veilige ontwikkelingspraktijken voor projecten en producten die deel gaan uitmaken van de kritieke infrastructuur waarop de industrie en de overheid vertrouwen, zegt Brian Behlendorf, uitvoerend directeur van de Open Source Security Foundation (OpenSSF).
"Aan het begin van de supply chain zijn de ruwe, soms rommelige, maar ook vaak ongelooflijk innovatieve processen van het schrijven van code in een groep die zo vaak tot geweldige software leiden", zegt hij. "Dat is kostbaar en mag niet worden geketend door bureaucratie of vereisten die geen waarde creëren voor die stroomopwaartse kernontwikkelaars."
De OpenSSF erkent echter dat er veiligere ontwikkelingsprocessen moeten worden toegevoegd aan elke stap in de keten, van kernontwikkelaar tot pakketbeheerder tot de ontwikkelingsteams die uiteindelijk de softwarecomponent of bibliotheek gebruiken.
"Wat nu belangrijk is, in een wereld van miljoenen softwareprojecten en -ontwikkelaars, is om te helpen bij het opschalen van wat voorheen informele processen met veel vertrouwen in deze keten waren, naar meer rigoureuze, geautomatiseerde tools en praktijken", zegt Behlendorf.
De industrie is al begonnen te investeren in het beveiligen van open source software, evenals in hun eigen softwareproducten. Op een vergelijkbare top in augustus hebben Google en Microsoft beloofd miljarden uit te geven aan softwarebeveiliging en cyberbeveiligingsinspanningen in de komende vijf jaar. Google heeft zich bijvoorbeeld gecommitteerd aan een onzichtbaar beveiligingsinitiatief om beveiligingen te integreren zodat ontwikkelaars en bedrijven de vruchten kunnen plukken, en heeft ook met OpenSSF samengewerkt om tools voor ontwikkelaars. Akamai zet zich in om de open source-gemeenschap te blijven helpen manieren te vinden om kwetsbaarheden in software detecteren en aanvallen indammen, maar erkende dat het werk pas begint.
"Hoewel deze uitvoeringsopdracht een stap in de goede richting is, moet er meer worden gedaan om de open source-gemeenschap te ondersteunen om te gedijen in ons steeds veranderende dreigingslandschap", zegt Akamai's Gelbord.
Vorig jaar heeft de Biden-administratie een uitvoerend bevel uitgegeven over cyberbeveiliging die alom werd geprezen omdat ze gedetailleerder was dan eerdere regeringen. Bovendien kondigde de regering in oktober aan dat het zou: creëer het Bureau of Cyberspace and Digital Policy binnen het Amerikaanse ministerie van Buitenlandse Zaken om de internationale diplomatie over deze kwestie te leiden.
