מהלך משמעותי לאבטחת הקוד הפתוח 

This post is also available in: English (אנגלית)

למעלה מחודש אחרי החשיפה הראשונה של החולשה הקריטית Log4Shell, הגורמים המעורבים בתעשיית ההייטק בארה"ב השתתפו בפגישה בבית הלבן בנושא אבטח סייבר, במטרה לדון ביוזמות לשיפור האבטחה של תוכנות קוד פתוח וקידום שיתופי פעולה חדשים במטרה להאיץ את השיפורים.

רוב חבילות התוכנה העיקריות כוללות תוכנת קוד פתוח, ביניהן תוכנה שבשימוש קהיליית הביטחון הלאומית של ארה"ב, לפי הודעת הבית הלבן. תוכנת קוד פתוח היא בעלת ערך יחודי אך מזמנת גם אתגרי אבטחה יחודיים בגלל היקף השימוש ומספר המתנדבים האחראים לתחזוקת האבטחה שלה.

בפגישה השתתפו גורמים רשמיים מסוכנויות הממשל הפדראלי, ביניהן CISA – הסוכנות לאבטחת סייבר ותשתיות, המחלקה לביטחון המולדת ומחלקת ההגנה.

בין המשתתפים מהמגזר הפרטי – 

Akamai, Amazon, Apache Software Foundation, Apple, Cloudflare, Facebook/Meta, GitHub, Google, IBM, the Linux Foundation, the Open Source Security Foundation, Microsoft, Oracle, RedHat, VMWare.

הדיון נסוב סביב שלושה נושאים: לגבי מניעת פגמי אבטחה וחולשות בחבילות קוד וקוד פתוח, הצדדים דנו ברעיונות להקל על המפתחים בכתיבת קוד מאובטח באמצעות שילוב מפאייני אבטחה לתוך כלי הפיתוח ואבטחת התשתית המשמשת לבנייה, אחסון והפצה של קוד.

שיפור תהליך מציאת החולשות ותיקונן – בעניין זה המשתתפים דנו בדרכים לתעדוף הפרויקטים החשובים ביותר בקוד פתוח והקמת מנגנונים יציבים לשמירה עליהם.

לבסוף, בנושא קיצור זמן התגובה להפצה ויישום תיקונים לחולשות, הודעת הבית הלבן מציינת כי נדונו דרכים להאצה ושיפור השימוש ב-Software Bills of Material, רשימת הרכיבים בתוכנה, כנדרש מצו נשיאותי, כדי לאפשר זיהוי קל יותר מה נמצא בתוכנה שאנחנו רוכשים ומשתמשים בה.

בעקבות המפגש כתב קנט ווקר, נשיא גוגל לנושאים גלובליים ויועץ משפטי לגוגל ואלפבית, כי השימוש בתוכנת קוד פתוח הוא בסיסי בתשתית דיגיטלית. "לאור החשיבות של תשתית דיגיטלית בחיינו, כעת הזמן להתחיל לחשוב על כך באותה דרך שאנחנו חושבים על התשתית הפיזית. תוכנת קוד פתוח היא הרקמה המחברת ברוב עולם האונליין – ומגיעים לה אותם תשומת לב ומימון שאנחנו נותנים לכבישים ולגשרים", הוא כתב.