La Casa Blanca recuerda a los gigantes tecnológicos que el código abierto es un problema de seguridad nacional

La Casa Blanca quiere que las organizaciones gubernamentales y del sector privado reúnan sus esfuerzos y recursos para proteger el software de código abierto y su cadena de suministro después de que las vulnerabilidades de Log4J expusieran la infraestructura crítica a los ataques de los actores de amenazas.

Las discusiones sobre este tema tuvieron lugar durante la Cumbre de seguridad de software de código abierto convocada por la administración Biden el jueves.

Los participantes se enfocaron en tres temas: prevenir defectos de seguridad y vulnerabilidades en el software de código abierto, mejorar el proceso para encontrar fallas de seguridad y corregirlas, y reducir el tiempo necesario para entregar e implementar correcciones.

"La mayoría de los principales paquetes de software incluyen software de código abierto, incluido el software utilizado por la comunidad de seguridad nacional", se lee en una lectura de la reunión sobre seguridad del software.

"El software de código abierto aporta un valor único y tiene desafíos de seguridad únicos, debido a su amplitud de uso y la cantidad de voluntarios responsables de su mantenimiento continuo de la seguridad".

Durante la cumbre, Google propuso la creación de una nueva organización que actuaría como un mercado para el mantenimiento de código abierto que uniría a los voluntarios de las empresas participantes con los proyectos críticos que necesitan más apoyo.

Durante demasiado tiempo, la comunidad del software se ha consolado con la suposición de que el software de código abierto es generalmente seguro debido a su transparencia y la suposición de que "muchos ojos" estaban observando para detectar y resolver problemas. Pero, de hecho, mientras que algunos proyectos tienen muchos ojos puestos en ellos, otros tienen pocos o ninguno. La creciente dependencia del código abierto significa que es hora de que la industria y el gobierno se unan para establecer estándares básicos de seguridad, mantenimiento, procedencia y pruebas, para garantizar que la infraestructura nacional y otros sistemas importantes puedan confiar en proyectos de código abierto. Estos estándares deben desarrollarse a través de un proceso colaborativo, con énfasis en actualizaciones frecuentes, pruebas continuas e integridad verificada. - Kent Walker, presidente de asuntos globales y director legal de Google y Alphabet

Esta cumbre de la Casa Blanca sigue a los ataques recientes y en curso dirigidos a vulnerabilidades de seguridad críticas en la biblioteca de registro basada en Java Apache Log4j de código abierto y omnipresente que expuso a los usuarios domésticos y empresas por igual a ataques de ejecución remota de código.

A la reunión asistieron la asesora adjunta de seguridad nacional Anne Neuberger y el director cibernético nacional Chris Inglis.

A ellos se unieron funcionarios de varias agencias federales, incluidos el Departamento de Defensa, el Departamento de Comercio, el Departamento de Energía y el Departamento de Seguridad Nacional, así como representantes de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el National Instituto de Estándares y Tecnología, y la Fundación Nacional de Ciencias.

Las organizaciones del sector privado que se unieron a la reunión incluyen, en orden alfabético: Akamai, Amazon, Apache Software Foundation, Apple, Cloudflare, Facebook/Meta, GitHub, Google, IBM, Linux Foundation, Open Source Security Foundation, Microsoft, Oracle, RedHat, VMware.

El presidente Biden ha hecho previamente de la seguridad del software una prioridad nacional después de emitir una Orden Ejecutiva para aumentar las defensas de seguridad cibernética de EE. UU. en mayo de 2021.

La orden ejecutiva de ciberseguridad de Biden se produjo después del ataque a la cadena de suministro de SolarWinds en diciembre.

Solicita al gobierno de los EE. UU. que impulse la seguridad de la cadena de suministro mediante el desarrollo de pautas, herramientas y mejores prácticas para auditar y garantizar que los actores maliciosos no se entrometan con el software crítico.

La misma Orden Ejecutiva también dice que solo las empresas que utilizan prácticas de ciclo de vida de desarrollo de software seguras pueden vender sus productos al gobierno federal, aprovechando el poder adquisitivo del gobierno para impulsar mejoras en la cadena de suministro de software.

¿Qué te ha parecido?
Subir
DiarioInforme utiliza cookies    Configurar y más información
Privacidad