Setor de tecnologia adota colaboração público-privada em segurança de software de código aberto

Os participantes de uma reunião da Casa Branca sobre segurança expressaram otimismo em trabalhar efetivamente com o governo

Author Photo
10:00 am - 25 de janeiro de 2022

Na esperança de promover a segurança aprimorada do software de código aberto, a Casa Branca organizou uma reunião com alguns dos maiores usuários e mantenedores públicos e privados de software de código aberto. O software de código aberto amplamente utilizado “traz um valor único e apresenta desafios de segurança únicos, devido à sua amplitude de uso e ao número de voluntários responsáveis ​​pela manutenção contínua da segurança”, disse a Casa Branca.

A reunião foi organizada em dezembro, logo após o surgimento de uma vulnerabilidade perigosa no utilitário de log baseado em Java Log4j. Essa falha fácil de explorar tem o potencial de comprometer centenas de milhões de máquinas globalmente. O FBI, a NSA e a Agência de Segurança Cibernética e Infraestrutura (CISA) rapidamente a classificaram como “uma ameaça para organizações e governos em todos os lugares”. Em uma carta convidando líderes de tecnologia para a reunião, o conselheiro de segurança nacional Jake Sullivan disse que “software de código aberto é uma preocupação fundamental de segurança nacional”.

A reunião incluiu participantes de uma ampla gama de departamentos e agências governamentais, incluindo Anne Neuberger, Vice-Conselheira de Segurança Nacional para Tecnologias Cibernéticas e Emergentes, Chris Inglis, Diretor Nacional de Cibernética, e funcionários do Gabinete do Diretor Nacional de Cibernética, da CISA e do Instituto de Padrões e Tecnologia (NIST). Do setor privado, participaram executivos e representantes de alto nível da Akamai, Amazon, Apache Software Foundation, Apple, Cloudflare, Facebook (Meta), GitHub, Google, IBM, Linux Foundation, OpenSSF, Microsoft, Oracle e RedHat.

Segundo a Casa Branca, a agenda da reunião incluiu três tópicos:

  • Prevenir defeitos de segurança e vulnerabilidades em código e pacotes de código aberto
  • Melhorar o processo para encontrar defeitos de software de código aberto e corrigi-los
  • Reduzir o tempo de resposta para distribuição e implementação de correções

Para abordar o primeiro tópico, os participantes discutiram como tornar mais fácil para os desenvolvedores escreverem códigos seguros integrando recursos como assinatura de código e identidades digitais mais fortes em ferramentas de desenvolvimento e infraestrutura usadas para construir, armazenar e distribuir código.

Em termos de melhoria do processo de localização de defeitos e sua correção, os participantes discutiram a priorização e manutenção de um catálogo dos projetos mais críticos. Em relação à redução dos tempos de resposta e correção, os participantes da reunião falaram sobre maneiras de acelerar e melhorar o uso de listas de materiais de software (SBOMs) para facilitar o conhecimento de quais componentes entram no software.

“Discussão incrivelmente construtiva”

Em uma coletiva de imprensa após a reunião, Sullivan chamou a reunião de “uma discussão incrivelmente construtiva sobre como o setor público e o setor privado podem trabalhar juntos de forma eficaz para garantir que os sistemas do setor público sejam mais robustos e resilientes e os sistemas do setor privado sejam mais robustos e resilientes”.

Ele também apontou para os esforços do governo para resolver o problema da segurança de software de código aberto. A ordem executiva do presidente (EO), emitida em maio, orientou o NIST a desenvolver orientações para identificar práticas que melhorem a segurança da cadeia de fornecimento de software. O EO exigiu a orientação do NIST para incluir padrões, procedimentos ou critérios que garantam e atestem “a integridade e a proveniência do software de código aberto usado em qualquer parte de um produto”. O NIST publicou essas diretrizes em forma de rascunho em outubro.

O EO também exigiu que a Administração Nacional de Telecomunicações e Informações (NTIA) do Departamento de Comércio publicasse elementos mínimos para um SBOM. A NTIA publicou um documento em julho contendo esses elementos.

As novas propostas de segurança de código aberto do Google

Participantes da indústria saíram da reunião na Casa Branca expressando seu apoio a uma maior colaboração do governo. Após a conclusão da reunião, Kent Walker, Presidente de Assuntos Globais e Diretor Jurídico do Google e da Alphabet, compartilhou uma série de propostas para novos modelos colaborativos para proteger o software de código aberto.

A primeira proposta é estabelecer uma parceria público-privada para identificar e manter uma lista de projetos críticos de código aberto, com criticidade determinada com base na influência e importância de um projeto. A segunda proposta pede que o governo e a indústria “se unam para estabelecer padrões básicos de segurança, manutenção, proveniência e testes”, enfatizando atualizações frequentes, testes contínuos e integridade verificada.

A terceira proposta é criar “uma organização para servir como um mercado para manutenção de código aberto, combinando voluntários de empresas com os projetos críticos que mais precisam de suporte”. O Google diz que já contribuiu com recursos e está pronto para contribuir com mais recursos para esses esforços.

Setor de tecnologia aplaude liderança do governo

Os outros participantes do setor privado também endossaram a ideia de trabalhar em conjunto com o governo para tornar o software de código aberto mais seguro. “Quando a segurança de um componente ou aplicativo de código aberto amplamente usado é comprometida, todas as empresas, todos os países e todas as comunidades são afetadas”, disse Jim Zemlin, Diretor Executivo da Linux Foundation. “Aplaudimos a liderança do governo dos EUA em facilitar um foco mais forte na segurança de software de código aberto e esperamos colaborar com o ecossistema global para progredir. Em particular, o OpenSSF é nossa principal iniciativa para abordar o amplo conjunto de desafios da cadeia de suprimentos de software de código aberto, e foi muito animador ouvir nosso trabalho identificado e endossado por outros participantes da reunião como base para uma colaboração adicional”.

Brian Behlendorf, Diretor Executivo do OpenSSF, concorda. “O ecossistema de código aberto precisará trabalhar em conjunto para aprofundar a pesquisa, treinamento, análise e correção de segurança cibernética de defeitos encontrados em projetos críticos de software de código aberto”, disse ele. “[Os planos discutidos na reunião da Casa Branca] foram recebidos com feedback positivo e um compromisso coletivo crescente de tomar medidas significativas. Após a recente crise do Log4j, o momento nunca foi tão urgente para a colaboração pública e privada para garantir que os componentes de software de código aberto e as cadeias de suprimentos de software pelas quais eles fluem demonstrem a mais alta integridade de segurança cibernética”.

Mike Hanley, CSO do GitHub, disse que abordar “a segurança da cadeia de suprimentos de software é um esporte de equipe. Por meio de parcerias com governos, universidades, desenvolvedores e outras organizações, juntos podemos causar um impacto significativo no futuro da segurança de software, e a discussão de hoje é um passo importante para proteger o código do mundo juntos”.

Akamai disse que “o governo e a indústria devem priorizar investimentos em ferramentas e tecnologias que possam ajudar a aumentar a visibilidade do uso de código aberto, de forma otimizada por meio de ferramentas automatizadas”. Ele também disse que “suporta forte propriedade público-privada e gerenciamento de vulnerabilidades para bibliotecas críticas de código aberto designadas”.

A Fundação Apache chamou a reunião da Casa Branca de “um bom começo que pode ajudar a catalisar e direcionar uma resposta mais ampla para atender às necessidades atuais de segurança de software de código aberto”. A Red Hat disse que “está ansiosa para trabalhar com a administração e um amplo conjunto de partes interessadas nas próximas etapas e continuará nosso foco em apoiar nossos clientes e fortalecer o ecossistema de código aberto”.

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.