Este audio se generó automáticamente. Háganos saber si tiene comentario.
En noviembre de 2021, una vulnerabilidad de día cero en una pieza ubicua de código de código abierto sorprendió a la industria de la tecnología y desencadenó un esfuerzo urgente para ayudar a asegurar el ecosistema de código abierto en gran medida voluntario. Casi cuatro años después, ese esfuerzo ha progresado importante, pero también ha sido cojeado por múltiples contratiempos.
La vulnerabilidad log4shell En una popular herramienta de registro de Java, convenció a la administración Biden de centrarse en la seguridad de código abierto y llevó a las principales compañías tecnológicas, incluidas Amazon, Google y Microsoft, a comprometer decenas de millones de dólares a las mejoras de seguridad. Gran parte de ese trabajo ocurrió a través de La Fundación Security Security de código abierto de la Fundación Linux (OpenSSF), que creó numerosas herramientas para ayudar a los desarrolladores a analizar y abordar los riesgos de su código.
Pero que comenzó con una cumbre de la Casa Blanca y un ambicioso en toda la industria «Plan de movilización» Pronto encontraron desafíos. Una nueva tecnología tentadora conocida como IA generativa distrajo a los gigantes tecnológicos que financiaron el trabajo, y una transición política en los Estados Unidos se extinguió esfuerzos gubernamentales para mantener la industria en camino.
Superar esos obstáculos y duplicar la seguridad de código abierto es esencial, los expertos dijeron a Cybersecurity Dive, dado lo generalizado que es el código en todo, desde la infraestructura crítica hasta la computación diaria cotidiana.
«Necesitamos asegurarnos de que el impulso que construimos no se pierda», dijo Jack Cable, un ex asesor técnico senior de la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) que trabajó en seguridad de código abierto.
Progreso de seguridad de código abierto
Desde principios de 2022, una infusión de financiación y atención ha llevado a importantes mejoras de seguridad de código abierto.
Uno de los desarrollos más importantes fue la campaña para mejorar La seguridad de los repositorios de paquetes de código abierto. El repositorio «es el punto de distribución moderno para la mayoría del software que se consume», dijo David Nalley, director de experiencia de desarrollador en Amazon Web Services, que ha ayudado a financiar mejoras en estas plataformas vitales. Christopher Robinson, el principal arquitecto de seguridad de OpenSSF, dijo que el objetivo de este trabajo era garantizar que «todos los proyectos dentro de esos ecosistemas heredarán» prácticas de seguridad fuertes.
Amazon también ayudó a los desarrolladores detrás de una biblioteca de encriptación TLS para el lenguaje de programación seguro para la memoria. un algoritmo criptográfico que cumplió con los estándares federalesfacilitando que las organizaciones necesiten cumplir con esos estándares, incluidas las empresas en las industrias reguladas, para usar el código seguro para la memoria.
Robinson destacó OpenSSF Proyecto SigStoreque permite a los desarrolladores firmar digitalmente su código para evitar la manipulación. También elogió a las compañías tecnológicas por integrar expertos en seguridad en comunidades construidas en torno a ciertos lenguajes de programación para servir como los «embajadores» de esos grupos al ecosistema más amplio.
La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) utilizó su autoridad y la reputación de sus expertos para construir puentes entre las agencias que utilizan el código de código abierto y los desarrolladores que lo producen.
«[We] Realmente hicieron mucho para asegurarse de que … cuando ocurrieron incidentes, la gente podría conectarse entre sí «, dijo Cable, ahora el CEO y cofundador de la firma de seguridad de codificación de IA. Dijo que esos esfuerzos valieron la pena durante el 2024 XZ Utils Crisisen el que un actor malicioso usó ingeniería social para engañar a un desarrollador abrumado y plantar una puerta trasera en su paquete ampliamente utilizado.
Quizás lo más significativo, las empresas que dependen de los paquetes de código abierto se responsabilizan cada vez más por garantizar que estén seguras, en lugar de tratar a los desarrolladores de código abierto como su fuerza laboral no remunerada.
Los desarrolladores de código abierto se han quejado durante años de que se sienten explotados por las empresas que usan su código con fines de lucro, según Arnaud Le Hors, miembro del personal técnico senior de Open Technologies en IBM. Ahora, más empresas «se dan cuenta de que no puede depender de la comunidad en general para arreglar las vulnerabilidades en los paquetes de código abierto que decide usar en sus productos».
«Se realizó mucho buen trabajo» en los últimos años, Cable dijo: «Y aún así está en curso».
Declinación de inversión
Después de que Log4Shell expuso el precario estado del ecosistema de código abierto, las principales compañías tecnológicas se reunieron con funcionarios de la administración de Biden y prometió más de $ 30 millones en servicios, infraestructura y personal para ayudar.
Pero si bien los esfuerzos de las empresas han arrojado algunos resultados, los expertos dijeron que no han estado a la altura de las expectativas.
Los compromisos de las empresas de tecnología «no se han materializado en la cantidad prometida», lo que lleva a «mucha decepción», dijo Aeva Black, quien dirigió el programa de seguridad de código abierto de CISA durante dos años. Además, muchas otras compañías ni siquiera han cometido nada, dijo Cable, porque «todavía no reconocen … el valor que están obteniendo del software de código abierto» y «no están pensando en cómo interactúan con los mantenedores, y mucho menos comenzar[ing] para contribuir de nuevo «.
Amazon, uno de los principales financiadores más grandes del trabajo de OpenSSF, es «invertir más hoy que nosotros después de log4shell», dijo Nalley, pero sus «inversiones han evolucionado a medida que aprendemos qué funciona y qué no … algunos … algunos … [investments] han valido la pena. Otros, tal vez no como esperábamos «.
A medida que las empresas han reducido sus ambiciones, el gobierno de los Estados Unidos ha pasado de impulsarlas a abandonar el campo bajo el presidente Donald Trump. El trabajo de código abierto «se ha ralentizado bajo la nueva administración», dijo Le Hors.
La administración de Biden prometió $ 11 millones Hacia la seguridad de código abierto en agosto pasado, pero Black dijo que «esas promesas no están siendo seguidas».
La administración Trump cortes a CISA y las salidas de negros, cable y otros expertos en materia ampliamente respetados han eliminado esencialmente El trabajo de la agencia en seguridad de código abierto.
La defensa de la CISA ayudó a expertos de código abierto en empresas tecnológicas a convencer a sus empleadores de que «sigan sus compromisos» y a convertirse en participantes más activos en la comunidad, dijo Black.
En el futuro, Cable dijo: «No está claro cuál será CISA y, en general, el nivel de participación del gobierno federal» en código abierto.
CISA «sigue centrada en el láser» en seguridad de código abierto, dijo Marci McCarthy, directora de asuntos públicos de la agencia, en un comunicado. «El software de código abierto es un componente crítico en nuestra cadena de suministro de software tanto para el gobierno federal como para la infraestructura crítica de los Estados Unidos», dijo McCarthy. «Tenemos el privilegio de tener un equipo talentoso en CISA dedicado a comprender y mitigar los riesgos en el software de código abierto».
Operai accidentalmente vuelve a subir todo
El 30 de noviembre de 2022, solo unos meses después de la iniciativa de seguridad de OpenSSF, Operai lanzó ChatGPT. A medida que los chatbots generativos de IA cautivaron al público, las compañías tecnológicas se apresuraron a adoptar la tecnología. Y justo alrededor de esa época, Black dijo: «Varias de las grandes empresas que hicieron [open-source security] Las promesas comenzaron a reasignar a sus desarrolladores lejos de la seguridad de código abierto y en las herramientas de IA «.
En los años siguientes, dijo Black, la seguridad de código abierto cayó en el camino cuando las empresas hicieron «grandes pivotes para duplicar la IA».
La mayoría de los expertos en Microsoft con los que Black trabajó en seguridad de código abierto cuando estaban en la compañía y en CISA «han sido trasladados a los equipos de IA ahora», dijeron. Mientras CISA los estaba reclutando lejos de Microsoft, recordaron, su equipo de la compañía estaba «siendo recogido y reasignado en el trabajo de IA».
Los empleados legales y de políticas de Microsoft que habían estado apoyando el trabajo de código abierto también fueron reasignados a IA, dijo Black, y la subsidiaria de Microsoft Github «hizo un gran cambio».
Tanto Microsoft como Google «parecen estar reasignando sus recursos humanos lejos de este esfuerzo», dijo Black.
Microsoft no disputó la cuenta de Black, pero Ryan Waite, su director de ecosistemas de código abierto e incubaciones de código abierto, dijo que la compañía permaneció profundamente involucrado en el ecosistema. Un portavoz de Google dijo que «continúa invirtiendo una cantidad sustancial de recursos y experiencia» en seguridad de código abierto.
Algunos expertos creen que la IA mejorará la seguridad de código abierto al acelerar drásticamente el proceso de encontrar y arreglar vulnerabilidades. La Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA) recientemente concluyó una competencia de premios, Celebrada en asociación con OpenSSFpara desarrollar un software de detección de vulnerabilidad con IA.
Pero otros no son tan optimistas. Black señaló Una charla de conferencia frustrada por el desarrollador del paquete curl ampliamente utilizado. «Está bajo el agua», dijo Black, «abrumado por el desarrollador con sede en AI SLOP: personas que proponen parches que están claramente escritos por herramientas generativas de IA que son basura, y tiene que seguir dudando a través de ellos y rechazándolos».
Problemas no resueltos
Una amplia gama de problemas de seguridad de código abierto, según los expertos que ven diversos grados de compromiso con ellos.
Uno de los problemas más serios es que los desarrolladores de software, incluidos los suministrando el ejército de los Estados Unidos – A menudo no sé de dónde proviene el código que usan. «La gente no tiene una gran visión de lo que están consumiendo», dijo Nalley. Este problema es particularmente grave debido a cuántos paquetes hay en una sola pieza de software, un promedio de 180según Sonatype, y debido a lo inseguros que son muchos de esos paquetes. Casi cuatro años después de la vulnerabilidad ampliamente publicitada en LOG4J, la versión defectuosa aún representa el 13% de todas las descargas del paquete, dijo Robinson.
Proyecto de cuadro de mando de OpenSSF Ayudará a los desarrolladores a abordar estos riesgos de «dependencia», dijo Nalley. Facturas de software de materiales (SBOMS) también podría ayudar a iluminar las dependencias de los paquetes, aunque Black dijo que la complejidad del código abierto los hizo menos que ideales.
Identificar y ayudar a los proyectos más s escasamente mantenidos pero vitales sigue siendo otro desafío importante. Algunos proyectos que sustentan todo el Internet pueden ser el trabajo de uno o dos voluntarios. «Necesitamos hacer inversiones allí», dijo Nalley. Harvard Business School ha estado abordando este problema a través de un censo periódico.
La crisis de XZ Utils destacó la importancia de reducir las brechas de confianza de los proyectos y comprender la procedencia de cada línea de código, y Le Hors dijo OpenSSF Niveles de cadena de suministro para artefactos de software (SLSA) El proyecto ayudaría con eso.
Las compañías tecnológicas que reescriben paquetes en lenguajes de programación seguros de memoria enfrentan desafíos de adopción. «Mucho de la [packages] Intentamos reescribir no vimos [significant] adopción ”, dijo Nalley. Su equipo ayudó a reescribir el paquete de sudo tan importante y alentaron las distribuciones de Linux a incorporarlo, pero dijeron que tenía demasiadas dependencias, por lo que el equipo tuvo que rehacerlo.
También queda más trabajo para asegurar repositorios de paquetes. «Invertir en la fontanería es realmente importante», dijo Nalley.
Incluso cuando el trabajo en los Estados Unidos se ralentiza, otros gobiernos no se quedan quietos. Nueva legislación de la Unión Europea Hará que las empresas sean responsables de asegurar el código de código abierto que enumeran, lo que probablemente tendrá efectos de dominio global.
«Hemos progresado mucho desde el problema de log4shell», dijo Le Hors. «Todavía estamos progresando, afortunadamente, porque Estados Unidos no es el mundo entero».
Fuente