Tras escándalos de seguridad como los de SolarWinds y Colonial Pipeline, la Casa Blanca decidió convertir la seguridad del software en una prioridad a través de una orden ejecutiva emitida en mayo de 2021. Más recientemente, la institución ha decidido unir fuerzas con la Open Source Security Foundation (OpenSSF) y The Linux Foundation para pedir 150 millones de dólares con los que financiar durante los próximos dos años la resolución de los mayores problemas de seguridad del código abierto.
Parece que el gobierno de los Estados Unidos no pondrá el dinero para financiar el programa, así que compañías como Amazon, Ericsson, Google, Intel, Microsoft y VMware han prometido poner en total unos 30 millones de dólares, mientras que Amazon Web Services (AWS) ha prometido por su parte otros 10 millones adicionales. Brian Behlendorf, gerente general de la OpenSSF, ha dicho en una rueda de prensa en la Casa Blanca que la intención no es recaudar fondos del gobierno y que no ven la necesidad de hacerlo para que el programa tenga éxito.
El programa impulsado por la OpenSSF y The Linux Foundation tiene la intención de cumplir los siguientes 10 objetivos:
- Ofrecer formación y una certificación básica sobre el desarrollo de software seguro.
- Establecer un panel de riesgos público, independiente del vendedor y basado en métricas objetivas para los principales 10.000 componentes publicados como código abierto.
- Acelerar la adopción de las firmas digitales en las versiones del software.
- Eliminar las causas raíz de muchas vulnerabilidades mediante la sustitución de los lenguajes que no son seguros a nivel de memoria (para algunos esto podría sonar a la insistencia de introducir Rust en el kernel Linux).
- Establecer el equipo de respuesta a incidentes de la OpenSSF, el cual se compondrá por expertos en seguridad que pueden intervenir para ayudar a los proyectos de código abierto en momentos críticos y hacer que respondan correctamente ante una vulnerabilidad.
- Acelerar el descubrimiento de nuevas vulnerabilidades por parte de los mantenedores y expertos a través de herramientas de seguridad avanzadas. Aquí nos encontramos aparentemente con una posible competencia con esas empresas e instituciones dadas a guardarse las zero-day.
- Realizar una vez al año revisiones y auditorías del código de terceros y de cualquier otro trabajo hasta abarcar los 200 componentes de código abierto más críticos.
- Coordinar el intercambio de datos en toda la industria de forma que mejore la investigación para determinar cuáles son los componentes de código abierto más críticos.
- Mejorar las herramientas y la capacitación en la Declaración de Materiales por Software (SBOM) para impulsar su adopción.
- Mejorar las diez herramientas de código abierto más críticas abarcando sistemas de compilación, gestores de paquetes y sistemas de distribución con mejores herramientas de la cadena de suministro de seguridad y mejores prácticas.
Con el propósito de mejorar la seguridad, una compañía de seguridad Open Source llamada Chainguard ha creado Sigstore, un estándar mediante el cual los desarrolladores pueden firmar de forma segura artefactos de software como archivos, imágenes de contenedor, binarios, etc. Lejos de ser un canto al sol, cuenta con el respaldo de The Linux Foundation, Red Hat y la Universidad de Purdue y ha sido adoptado por Kubernetes.
La seguridad del software publicado como código abierto es una preocupación que ha ido en aumento durante el transcurso de la última décadas. Escándalos como Heartbleed y la vulnerabilidad que afectó a Apache Log4j han puesto en evidencia que muchos proyectos no cuentan con los medios necesarios para mantener unos correctos niveles de seguridad, así que programas como este son bienvenidos si realmente contribuyen a mejorar la seguridad del software empleado por usuarios y empresas.
Para terminar, la Casa Blanca tiene un relación con el código abierto más estrecha de lo que podría aparentar, hasta el extremo de liberar sus módulos creados con Drupal, un CMS que a saber si sigue utilizando en estos momentos.