دستور اجرایی بایدن به امنیت متن باز بیشتری نیاز دارد ، اما نه چگونگی دستیابی به آن


نظر: پیشرفت این است که دستور اجرایی رئیس جمهور بایدن نیاز به تهیه نرم افزار منبع باز را تشخیص می دهد. کاری که انجام نمی دهد این است که به بهترین راه برای دستیابی به آن روی بیاورد.

تصویر: iStockPhoto / maxkabakov

تنها زمانی احساس می شد که تأثیر دیوید رکوردون بر دولت فدرال آمریکا احساس شود. اندکی پس از روی کار آمدن رئیس جمهور بایدن ، وی چند سال پس از آنکه رکاردون ابتکارات منبع باز را در فیس بوک رهبری کرد ، وی رکاردون را به عنوان مدیر فناوری به کاخ سفید منصوب کرد. ركوردون در آن زمان نوشت: “همه گیری و حملات مداوم امنیت سایبری چالش های جدیدی را برای كل دفتر اجرایی رئیس جمهور ایجاد می كند.” رئیس جمهور بایدن که سریعاً به ماه مه 2021 منتقل شد ، دستورالعمل اجرایی برای بهبود امنیت سایبری کشور را صادر کرد ، با انگشت های منبع باز Recordon در سراسر سند.

به عنوان مثال ، دستورالعمل بایدن اصرار دارد “تا آنجا که ممکن است ، از یکپارچگی و منشا نرم افزار منبع باز مورد استفاده در [federal government code]آنچه انجام نمی شود ، تعیین نحوه انجام این کار است. این یکی از چالش های کلیدی نرم افزارهای منبع باز است و دستورالعمل اجرایی می تواند روی آن تأثیر بگذارد اما اصلاح نمی شود.

نگاه کنید: سیاست پاسخگویی به حادثه حتما (TechRepublic Premium)

دنبال عمو سام

جالب است که دستور اجرا بر اهمیت محافظت از نرم افزار منبع باز تأکید می کند ، اما شاید جای تعجب نداشته باشد. به عنوان باب دان ، معاون رئیس دولت های جهانی ، در شبکه Juniper. نوشت ، تعدادی از عوامل وجود دارد که به افزایش پذیرش منبع باز در دولت فدرال ایالات متحده اشاره دارد. اگرچه پایبندی نرم افزارهای اختصاصی برای آژانس ها آسان بود ، اما دان گفت: “پشتیبانی از استانداردهای آزاد در حال رشد است و می تواند در بخش های IT فدرال به نقطه عطفی برسد.”

یکی از این عوامل Recordon و ریشه های منبع باز آن است.

و در حالی که این دستورالعمل اجرایی فقط در مورد نرم افزارهای مورد استفاده در دولت فدرال اعمال می شود ، واقعیت این است كه اگر این خواسته خبیثانه ای باشد ، بسیار فراتر از واشنگتن اثرات شوك ایجاد خواهد كرد (به عنوان مثال ، دانستن اینكه سازمان در داخل نرم افزار چه چیزی خریداری می كند و قادر به تهیه آن است) آن) ، سپس اصول ترسیم شده در دستورالعمل با آن از بین می رود. اما اینگونه نیستند. در حالی که تقریباً 90٪ از کل نرم افزارها شامل تقریباً هر تحلیلی که من دیده ام شامل م componentsلفه های متن باز (از جمله در مورد Sonatype) است و می تواند تا 80٪ یا بیشتر از برنامه خود را داشته باشد ، همانطور که WhiteSource Software می یابد ، مهم است برای شرکت ها می توانند این موجودی را تهیه و تهیه کنند ، اما تعداد کمی می توانند.

به عبارت دیگر ، ما یک دستورالعمل اجرایی داشتیم که اهمیت امنیت زنجیره تأمین منبع باز را به ما یادآوری می کند ، اما روش های عالی برای این کار نداریم. همانطور که دونالد فیشر ، مدیرعامل تیدلیفت ، در مورد فرمان اجرایی امنیت سایبری کاخ سفید نوشت: “حقیقت سخت این است که اکثر سازمان ها در حال حاضر درک جامعی از همه نرم افزارهای منبع باز مورد استفاده در برنامه های خود ندارند” ، حتی راهی کمتر برای ارائه.

استراتژی های امنیتی مبتنی بر امید؟

همه اینها یک فرض طولانی است که به نظر می رسد موقعیت امنیتی اکثر سازمانها “فکر و دعا” باشد. این یک استراتژی امنیتی عالی نیست.

در همین پست ، فیشر هشدار داد: “طبق نظرسنجی اخیر Tidelift در سازمان هایی با بیش از 10،000 کارمند ، 39٪ از پاسخ دهندگان اظهار داشتند که آنها زیاد نیستند یا به هیچ وجه مطمئن نیستند که اجزای منبع باز مورد استفاده آنها ایمن است ، به خوبی نگهداری می شود و جریان. فقط 16٪ از اعتماد به نفس بالا برخوردار بودند. ”

این درصد زیادی از افرادی است که “اطمینان زیادی ندارند” که قادر به محافظت از نرم افزار خود هستند.

نگاه کنید: دستور اجرایی بایدن در تلاش برای بهبود امنیت سایبری ایالات متحده با چالش هایی روبرو است (TechRepublic)

Tidelift با ارائه اشتراک هایی که به نگهدارندگان نرم افزار برای بهبود و محافظت از کد خود پرداخت می کنند ، راهی برای رفع این مشکل ارائه می دهد. به تعبیری ، این اشتراک مشابه اشتراکی است که مشتریان می توانند برای Red Hat (برای لینوکس) یا Confluent (برای Apache Kafka) پرداخت کنند ، اما طیف گسترده تری از اجزای سازنده را که مشتریان می توانند به آن اعتماد کنند ، عنوان می کند. این یک رویکرد جالب برای یک مسئله پیچیده است ، اما یک مسئله پیچیده است که به راحتی با یک راه حل قابل حل نیست.

به عنوان مثال ، کیم لواندوفسکی ، یکی از اعضای هیئت مدیره بنیاد امنیت منبع آزاد ، گفت: “ما برخی از طرفداران را دیده ایم که پول نمی خواهند ، یا نمی توانند پول را بگیرند ، یا فقط نمی توانند آن را به چیزهایی که ما نیاز داریم “اشتراک Tidelift می تواند به تأمین برخی از هزینه های تهیه نرم افزارهای مهم کمک کند ، اما طبق گفته لواندوفسکی پول همیشه راه حل نیست. به این ترتیب OpenSSF گزینه های مختلف منابع صنعت را برای محافظت بهتر از نرم افزارهای منبع باز در نظر می گیرد.

بعضی اوقات این شامل کمک های مالی برای پروژه های پشتیبانی می شود. بعضی اوقات این برای آنها به معنای استخدام در شرکتی است که آنها را به مشارکت تشویق می کند. به نظر نمی رسد یک راه واقعی برای تأمین هزینه های پایداری منبع باز وجود داشته باشد ، بنابراین استفاده از چندین روش برای هدف حفظ و تهیه نرم افزار منبع باز بسیار مهم است.

افشای اطلاعات: من برای AWS کار می کنم ، اما نظرات بیان شده در اینجا نظر من است.

همچنین ببینید

Author: morteza

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *