La Casa Bianca interviene sull’Open Source

L’affidabilità dell’Open Source discussa con le Big Tech

I rappresentanti di alcune delle più grandi aziende tecnologiche negli Stati Uniti hanno trascorso più di cinque ore in discussioni con la Casa Bianca su cosa fare per la sicurezza dei progetti open-source, che sono il fondamento dell’economia moderna.

Non è un problema nuovo; la vulnerabilità Heartbleed OpenSSL nel 2014 avrebbe dovuto essere un campanello d’allarme sufficiente per il governo e per l’industria privata, ma quasi otto anni dopo, eccoci qui. Il vertice di giovedì è stato spinto dalla scoperta della vulnerabilità Log4j, e come ha detto il Chief Security Officer di GitHub Mike Hanley dopo essere uscito dalla riunione, “prima o poi, ci sarà un altro grosso problema cui dovremo rispondere”.

L’incontro è stato organizzato come discussione di gruppo, il che significa che tutti i rappresentanti presenti hanno avuto la possibilità di parlare, e poi si sono riuniti in sessioni per discutere le specifiche.

L’accento è stato posto sulla ricerca di modi per il settore pubblico e privato di lavorare insieme per identificare le sfide inerenti alla sicurezza del software open-source.

“Una delle cose che spiccava è il riconoscimento del governo dell’importanza del software open-source”, ha detto Robert Blumofe, CTO di Akamai e partecipante alla riunione. “Non sarebbe stato completamente inconcepibile per il governo iniziare ad avere un approccio molto negativo e dire, ‘beh, non possiamo fidarci dell’open source’, o vedere l’open source come capro espiatorio”.

Una conclusione chiave raggiunta dal gruppo? I progetti open-source non possono essere trattati come le aziende colpite dall’ordine esecutivo sulla cybersecurity dell’amministrazione Biden del maggio 2021, che i partecipanti hanno altrimenti riconosciuto come un importante passo avanti.

Semplicemente identificare quali progetti open-source hanno bisogno di assistenza per la sicurezza è un compito arduo: “In un’organizzazione, Log4j potrebbe essere stato nella loro lista dei 10 software più importanti, ma in un’altra organizzazione potrebbe essere il numero 4.221”, ha detto Hanley.

Il gruppo ha discusso di “trovare modi per sostenere l’open source in un modo che non sovraccarichi gli sviluppatori, ma piuttosto supporti effettivamente lo sviluppatore e la comunità di sviluppatori con strumenti, con l’istruzione, con il supporto e cose del genere”, ha detto Blumofe.

Ancora, i consumatori di software open-source – quasi tutti i moderni venditori e acquirenti di tecnologia aziendale a questo punto – devono anche fare la loro parte per migliorare la sicurezza open-source.

Il gruppo ha discusso la definizione di “standard di base per la sicurezza, la manutenzione, la provenienza e i test”, secondo Google, che Blumofe ha detto che avrebbe aiutato le aziende a costruire pratiche di conformità intorno alla sicurezza open-source.

Sembra che OpenSSF – che fa parte della Linux Foundation – s’impegnerà per aiutare a moderare le discussioni future tra i megavenditori aziendali, che non sempre condividono le stesse priorità.
Queste aziende hanno anche bisogno di migliorare le loro relazioni con i progetti open-source su cui fanno affidamento per gestire il loro business o costruire i loro prodotti.

“Non ci si può certo aspettare che uno sviluppatore open-source contempli le varie gamme di implementazioni in cui il suo software potrebbe essere incorporato”, ha detto Hanley.

Incontri come il summit di giovedì aiutano solo se sono seguiti da azioni concrete. La Casa Bianca dovrebbe seguire nei prossimi giorni con alcune proposte specifiche, nonché un piano per un secondo incontro che coinvolga i principali CEO del settore tecnologico, secondo diversi partecipanti.

CONDIVIDI QUESTO POST

Torna in alto