La Casa Blanca quiere aportes sobre seguridad de código abierto, lenguajes seguros para la memoria

Las agencias federales presentaron una solicitud de información el jueves, basándose en las prioridades de la administración de Biden para ayudar a asegurar el código abierto después de Log4j.




La Oficina de la Casa Blanca del Director Nacional Cibernético lanzó un solicitud de información el jueves para obtener información de las partes interesadas del sector público y privado sobre cuestiones clave relacionadas con la seguridad de código abierto, una pieza crítica de la estrategia nacional de ciberseguridad de la administración Biden.

La seguridad del código abierto se convirtió en un prioridad de la industria global durante la crisis de Apache Log4j, cuando los investigadores descubrieron una vulnerabilidad crítica a fines de 2021 que podría permitir que un ciberdelincuente no autenticado tome el control de sistemas remotos utilizando una línea de código simple.

La crisis reveló que el 96% de las aplicaciones dependen del código abierto, sin embargo, las personas que mantienen el código abierto son principalmente comunitarias, voluntarios no remunerados que carecen de los recursos para gestionar adecuadamente la seguridad de estas aplicaciones.

“Solo podemos darnos cuenta de los beneficios del software de código abierto cuando todos, incluido el gobierno federal, desempeñan su papel en el apoyo al ecosistema”, dice Eric Goldstein, asistente ejecutivo de ciberseguridad en la Agencia de Seguridad de Ciberseguridad e Infraestructura, y Camille Stewart Gloster, subdirectora nacional de ciberseguridad y seguridad del ecosistema en ONCD.

“ El gobierno federal es uno de los mayores usuarios de software de código abierto en el mundo y debemos hacer nuestra parte para ayudarlo a asegurarlo", dijeron.

ONCD, en asociación con otras agencias federales, también está solicitando información sobre el desarrollo de lenguajes seguros para la memoria y técnicas más seguras para desarrollar software.

CISA, la National Science Foundation, la Agencia de Proyectos de Investigación Avanzada de Defensa y la Oficina de Administración y Presupuesto están trabajando en conjunto con ONCD en la solicitud de información.

Anteriormente durante la crisis de Log4j, ONCD junto con la Oficina del Director Federal de Información de OMB establecieron un grupo de trabajo interinstitucional llamado Iniciativa de Seguridad de Software de Código Abierto para coordinar mejor los recursos del gobierno y desarrollar soluciones de políticas sobre el tema.

El grupo ha identificado tres áreas de enfoque:
 

-Adopción de lenguajes de programación seguros para la memoria.
-Diseño de requisitos de implementación para certificaciones de seguridad seguras y que preservan la privacidad.
-Identificar y promover áreas enfocadas para la priorización

El énfasis en los lenguajes seguros para la memoria proviene de su gran papel en las vulnerabilidades de software.

La Agencia de Seguridad Nacional, en orientación publicada en noviembre, citó datos de Microsoft que ilustran el 70% de sus vulnerabilidades desde 2016 hasta 2018, vinculados a problemas de seguridad de la memoria. Google identificó un porcentaje similar vinculado a las vulnerabilidades de Chrome.

La directora de CISA, Jen Easterly, se hizo eco de la llamada para hacer la transición a lenguajes seguros para la memoria, como Rust o Go, durante un discurso que aboga por seguro por diseño principios en la Universidad Carnegie Mellon en febrero. Pascuamente más tarde instó a las universidades a incorporar la seguridad de la memoria en la ingeniería y trabajo de curso de informática.

Los funcionarios de la industria dieron la bienvenida al RFI, ya que la Casa Blanca ha trabajado con la comunidad de código abierto y otras partes interesadas durante varios años para abordar cuestiones clave relacionadas con la seguridad de código abierto.

La casa blanca organizó una cumbre sobre seguridad de código abierto al principio de la crisis de Log4j, identificando preocupaciones clave sobre cómo el gobierno y la industria del software se benefician de la comunidad de código abierto, pero hizo relativamente poco para compensar adecuadamente a la comunidad por el trabajo.

Funcionarios de Tidelift dicen que el RFI presenta una buena oportunidad para abordar problemas relacionados con los incentivos económicos.

“No esperamos que los proveedores de ninguna otra industria proporcionen productos que sean robustos y seguros de forma gratuita, sin embargo, esta es la expectativa que tenemos con código abierto”, dijo Luis Villa, cofundador y asesor general en Tidelift. “Y representa un riesgo existencial para nuestra infraestructura tecnológica compartida”.


No hay comentarios:

Publicar un comentario