Steven Vaughan-Nichols Senior bidragande redaktör
Steven J. Vaughan-Nichols är en frilansskribent.
Fullständig biografi publicerad i Linux och öppen källkod den 1 februari 2022 | Ämne: LinuxUnder det senaste och ett halvt året har det ena cybersäkerhetsröret efter det andra — SolarWinds programvaras leveranskedjasattack, log4j-sårbarheten, npm dålig kodinjektion — gjort det klart att vi måste rensa upp vår programvara försörjningskedjan. Det är omöjligt att göra med proprietär programvara, eftersom dess skapare inte låter dig veta vad som finns i ett program. Men med öppen källkod kan det göras.
Här är de framsteg vi har gjort hittills, enligt Linux Foundation i sin nya rapport The State of Software Bill of Materials and Cybersecurity Readiness.
Linux Foundation, OpenSSF, SPDX och OpenChain har arbetat om att säkra mjukvaruförsörjningskedjan långt innan president Joe Biden undertecknade en verkställande order för att stärka den federala regeringens cyberförsvar. Denna order säger att programvara med öppen källkod måste försöka tillhandahålla en Software Bill of Materials (SBOM).
Beställningen definierar en SBOM som “en formell post som innehåller detaljerna och leverantörskedjeförhållandena för olika komponenter som används för att bygga programvara.” Det är ett särskilt viktigt problem med programvara med öppen källkod, eftersom “programvaruutvecklare och -leverantörer ofta skapar produkter genom att montera befintliga komponenter med öppen källkod och kommersiella program.”
Hur ofta? Det hanterade öppen källkodsföretaget Tidelift rapporterar att 92 % av applikationerna innehåller komponenter med öppen källkod. Faktum är att det genomsnittliga moderna programmet består av 70 % mjukvara med öppen källkod
Även: Under 2022 kommer säkerheten att vara prioritet nummer ett för Linux- och öppen källkodsutvecklare
Jim Zemlin, Linux Foundations verkställande direktör, skriver, “SBOMs är inte längre valfria. Vårt Linux Foundation Research-team avslöjade att 78 % av organisationerna förväntar sig att producera eller konsumera SBOMs under 2022. Företag som accelererar SBOM-antagandet efter publiceringen av den nya ISO-standarden 5962 eller Vita husets verkställande order förbättrar inte bara kvaliteten på sin mjukvara, utan de förbereder sig också bättre för att motverka kontradiktoriska attacker efter nya avslöjanden om öppen källkodssårbarhet som de som är kopplade till log4j.”
SBOM ISO-standard 5962 är ett verk av SPDX. ett Linux Foundation-relaterat projekt.
Enligt denna standard är en SBOM en formell och maskinläsbar metadata som unikt identifierar en mjukvarukomponent och dess innehåll. Det kan också innehålla upphovsrätts- och licensdata. Om du tänker på det som ett recept på ett program är du inte långt ifrån.
Enkätrespondenterna avslöjade också deras tre främsta fördelar med att producera SBOM:
51 % säger att det är lättare för utvecklare att förstå beroenden mellan komponenter i en applikation.
49 % uppger att det är lättare att övervaka komponenter för sårbarheter.
44 % noterar att det är lättare att hantera licensefterlevnad.
Med det sagt fann forskarna också att införandet av SBOM kräver ytterligare konsensus från industrin och regeringen politik. Närmare bestämt:
62 % av de tillfrågade letar efter bättre branschkonsensus om hur man integrerar produktion/konsumtion av SBOMs i sina DevOps-praxis.
58 % vill ha konsensus om integrationen av SBOMs i deras risk- och efterlevnadsprocesser.
53 % önskar bättre samsyn i branschen om hur SBOM kommer att utvecklas och förbättras.
80 % av organisationer världen över är medvetna om Vita husets verkställande order om att förbättra cybersäkerhet.
< p>76 % överväger förändringar som en direkt följd av förordningen.
Slutligen avslöjade forskningsdeltagare deras främsta attribut som användes för att prioritera vilka programvarukomponenter med öppen källkod som skulle användas av utvecklare: säkerheten rankades högst, följt av licensefterlevnad.
Även: Codenotary: Notarisera och verifiera din SBOM
Allt detta är en bra början, men mer måste göras. Jag tycker att det är särskilt oroande att även om det nu finns en ISO-standard för SBOM, så har utvecklare och deras företag inte anammat den mer.
Du förstår, SBOM är inte valfritt. De är viktiga för att säkra programvara med öppen källkod. Allt från säkerhetsintrång hela vägen till förestående cyberkrig visar att vi måste anta SBOM så snart som möjligt.
Linux
Farlig Linux-sårbarhet upptäckt efter 12 år Linux Foundation lanserar programvara med öppen källkod Utveckling, Linux och Git-certifiering De bästa Linux-distroerna för nybörjare Hur man blir ett Linux-proffs Regering – USA | Öppen källkod | Företagsprogramvara | Utvecklare | Moln