Bị thúc đẩy bởi các lỗ hổng trong phần mềm phổ biến ảnh hưởng đến các tổ chức trên toàn thế giới, chính phủ Hoa Kỳ đã gặp cộng đồng nguồn mở và các công ty phần mềm lớn vào ngày 13 tháng XNUMX tại Nhà Trắng để tìm cách hỗ trợ cộng đồng phát triển phần mềm đổi mới, đồng thời giảm khả năng xảy ra về các lỗi bảo mật trong tương lai trong các thành phần phần mềm phổ biến.
Hội nghị thượng đỉnh về an ninh phần mềm của Nhà Trắng quy tụ các quan chức từ các cơ quan chính phủ khác nhau liên quan đến an ninh quốc gia và công nghệ với đại diện từ các công ty phần mềm lớn — bao gồm Akamai, Amazon, Apple, GitHub, Google, Meta, Microsoft và RedHat — cũng như các thành viên của cộng đồng phần mềm nguồn mở, chẳng hạn như Quỹ Phần mềm Apache và Quỹ Linux.
Hội nghị thượng đỉnh nhằm tìm cách “ngăn ngừa các lỗi và lỗ hổng bảo mật trong mã và gói nguồn mở, cải thiện quy trình tìm lỗi và sửa chúng, đồng thời rút ngắn thời gian phản hồi để phân phối và triển khai các bản sửa lỗi,” chính quyền Biden cho biết trong một tuyên bố.
Tuy nhiên, trọng tâm của cuộc thảo luận là làm thế nào để sự phát triển đổi mới của các cộng đồng nguồn mở có thể tiếp tục phát triển trong khi cải thiện các nỗ lực để tạo ra phần mềm an toàn và tăng tốc độ vá khi đối mặt với các lỗ hổng.
“Phần mềm mã nguồn mở mang lại giá trị duy nhất và có những thách thức bảo mật duy nhất, bởi vì phạm vi sử dụng và số lượng tình nguyện viên chịu trách nhiệm duy trì bảo mật liên tục của nó,” chính quyền đã nêu. “Những người tham gia đã có một cuộc thảo luận thực chất và mang tính xây dựng về cách tạo ra sự khác biệt trong tính bảo mật của phần mềm nguồn mở, đồng thời tham gia và hỗ trợ một cách hiệu quả, cộng đồng nguồn mở.”
Hội nghị thượng đỉnh diễn ra khi các công ty tiếp tục đấu tranh để tìm và vá một lỗ hổng nghiêm trọng trong khung ghi nhật ký Log4j dành cho các ứng dụng Java, được sử dụng rộng rãi trong các ứng dụng doanh nghiệp. Hơn 80% ứng dụng Java trên Kho lưu trữ trung tâm Maven, kho lưu trữ quản lý gói được sử dụng rộng rãi, đã có Log4j là một phụ thuộc — nghĩa là các ứng dụng và thành phần Java đó có khả năng dễ bị tấn công. Trong khi lỗ hổng chưa dẫn đến một sự thỏa hiệp lớn, theo các quan chức Hoa Kỳ, vấn đề này có thể sẽ mất nhiều năm để khắc phục vì tính phổ biến của nó.
Một lịch sử lâu dài của các lỗ hổng lan rộng
Lỗ hổng trong các gói phần mềm phổ biến không phải là mới. Các Lỗ hổng Heartbleed 2014 trong OpenSSL và 2018 SPECTRE và lỗ hổng Meltdown đã chứng minh rằng các vấn đề bảo mật được tìm thấy trong phần mềm và chương trình cơ sở phổ biến có đuôi dài.
Mike Hanley, giám đốc an ninh cho biết: “Thế giới chạy bằng phần mềm, phần mềm này lại dựa vào nguồn mở, [điều đó] có nghĩa là các lỗ hổng trong mã nguồn mở có thể gây ra hiệu ứng gợn sóng toàn cầu đối với hàng tỷ nhà phát triển và dịch vụ dựa vào nó”. tại GitHub, cho biết trong một tuyên bố về hội nghị thượng đỉnh. “Chúng tôi đã thấy chỉ một hoặc hai dòng mã dễ bị tổn thương có thể có tác động đáng kể đến sức khỏe, sự an toàn và độ tin cậy của toàn bộ hệ thống trong nháy mắt.”
Hội nghị thượng đỉnh nhằm tìm kiếm cách cho chính phủ và ngành công nghiệp làm việc cùng nhau để cải thiện tính bảo mật của mã nguồn mở, chẳng hạn như tích hợp các tính năng bảo mật vào các công cụ và dịch vụ dành cho nhà phát triển cũng như đảm bảo tính toàn vẹn của các nền tảng được sử dụng để lưu trữ và phân phối các gói. Những nỗ lực ban đầu có thể sẽ tập trung vào các cách để cải thiện tính bảo mật của các gói và dự án phần mềm nguồn mở phổ biến và quan trọng, đồng thời đẩy nhanh việc áp dụng các hóa đơn nguyên vật liệu phần mềm để cho phép các nhà phát triển và công ty theo dõi sự phụ thuộc của họ.
Boaz Gelbord, giám đốc an ninh của Akamai cho biết: “Tất cả điều này bắt đầu với một nỗ lực chung nhằm tăng khả năng hiển thị trong việc sử dụng phần mềm nguồn mở. “Các tổ chức chính phủ và khu vực tư nhân phải đầu tư vào các công cụ cho thấy sự phụ thuộc vào các công nghệ nguồn mở và quan trọng là phải hành động để giảm thiểu và ngăn chặn rủi ro nhằm tăng cường an ninh của hệ sinh thái nói chung.”
Các nỗ lực sẽ là sự cân bằng giữa việc duy trì các nỗ lực đổi mới và thiết lập tiêu chuẩn của phát triển nguồn mở độc lập và thực thi các thực hành phát triển an toàn trên các dự án và sản phẩm trở thành một phần của cơ sở hạ tầng quan trọng mà ngành công nghiệp và chính phủ dựa vào, Brian Behlendorf, giám đốc điều hành của Tổ chức Bảo mật Nguồn Mở (OpenSSF).
Ông nói: “Ở giai đoạn đầu của chuỗi cung ứng là các quy trình viết mã thô sơ, đôi khi lộn xộn nhưng cũng thường cực kỳ đổi mới trong một nhóm thường dẫn đến phần mềm tuyệt vời. “Điều đó rất quý giá và không nên bị trói buộc bởi bộ máy quan liêu hoặc các yêu cầu không tạo ra giá trị cho những nhà phát triển cốt lõi thượng nguồn đó.”
Tuy nhiên, OpenSSF nhận ra rằng các quy trình phát triển an toàn hơn cần được thêm vào từng bước trong chuỗi từ nhà phát triển cốt lõi đến trình quản lý gói cho đến các nhóm phát triển cuối cùng sử dụng thành phần phần mềm hoặc thư viện.
Behlendorf nói: “Điều quan trọng hiện nay, trong một thế giới có hàng triệu dự án phần mềm và nhà phát triển, là giúp mở rộng quy mô từng là các quy trình không chính thức, có độ tin cậy cao dọc theo chuỗi này thành các công cụ và thực tiễn tự động hóa chặt chẽ hơn”.
Ngành công nghiệp đã bắt đầu đầu tư vào việc bảo mật phần mềm nguồn mở, cũng như các sản phẩm phần mềm của riêng họ. Tại một hội nghị thượng đỉnh tương tự vào tháng XNUMX, Google và Microsoft cam kết chi hàng tỷ đô la cho các nỗ lực bảo mật phần mềm và an ninh mạng trong năm năm tới. Ví dụ: Google đã cam kết thực hiện một sáng kiến bảo mật vô hình nhằm tích hợp các biện pháp bảo vệ để các nhà phát triển và doanh nghiệp thu được lợi ích, đồng thời cũng đã làm việc với OpenSSF để phát hành công cụ cho nhà phát triển. Akamai cam kết tiếp tục giúp cộng đồng nguồn mở tìm cách phát hiện các lỗ hổng trong phần mềm và ngăn chặn các cuộc tấn công, nhưng nhận ra rằng công việc chỉ mới bắt đầu.
“Mặc dù mệnh lệnh hành pháp này là một bước đi đúng hướng, nhưng cần phải làm nhiều hơn nữa để hỗ trợ cộng đồng nguồn mở phát triển mạnh trong bối cảnh các mối đe dọa ngày càng phát triển của chúng ta,” Gelbord của Akamai nói.
Năm ngoái, chính quyền Biden phát hành một mệnh lệnh điều hành về an ninh mạng được khen ngợi rộng rãi vì chi tiết hơn các chính quyền trước đây. Ngoài ra, chính quyền đã công bố vào tháng XNUMX rằng nó sẽ thành lập Cục Không gian mạng và Chính sách Kỹ thuật số trong Bộ Ngoại giao Hoa Kỳ để lãnh đạo ngoại giao quốc tế về vấn đề này.
