Foto di Darwin Laganzon da Pixabay


Lo scorso 13 gennaio 2022 la Casa Bianca ha ospitato un vertice sulla sicurezza del software open source. A questo incontro ha partecipato anche Google che ha chiesto pubblicamente al Governo Americano un maggiore coinvolgimento nell'identificazione e protezione dei progetti open source.

La recente vulnerabilità del software open source log4j ha portato all'attenzione globale la necessità di porre maggiore attenzione e impegno per salvaguardare gli strumenti open source.

L'open source facilita l'innovazione collaborativa e lo sviluppo di nuove tecnologie per aiutare a risolvere problemi condivisi. Ecco perché molti aspetti delle infrastrutture critiche e dei sistemi di sicurezza nazionali lo incorporano. Nonostante il largo uso che si fa del software open source non c'è uno stanziamento ufficiale di risorse e pochi requisiti formali o standard per mantenere la sicurezza di quel codice critico. Infatti, la maggior parte del lavoro per mantenere e migliorare la sicurezza dell'open source, compresa la correzione delle vulnerabilità conosciute, è fatto ad hoc, su base volontaria.

Per troppo tempo la comunità del software ha trovato conforto nell'assunto che il software open source è generalmente sicuro grazie alla sua trasparenza e all'assunto che "molti occhi" stavano guardando per individuare e risolvere i problemi. Ma in realtà, mentre alcuni progetti hanno molti occhi addosso, altri ne hanno pochi o nessuno.

Google ha lavorato per aumentare la consapevolezza dello stato della sicurezza open source investendo milioni nello sviluppo di framework e nuovi strumenti di protezione. Google ha anche contribuito con risorse finanziarie a gruppi e individui che lavorano sulla sicurezza di progetti open source fondamentali come Linux. Proprio l'anno scorso, come parte del loro impegno di 10 miliardi di dollari per far progredire la cybersicurezza, si sono impegnati ad espandere l'applicazione del framework Supply chain Levels for Software Artifacts (SLSA o "Salsa") per proteggere componenti chiave open source. Questo include 100 milioni di dollari per sostenere organizzazioni indipendenti, come la Open Source Security Foundation (OpenSSF), che gestiscono le priorità della sicurezza open source e aiutano a risolvere le vulnerabilità.


Google, durante la riunione svolta alla Casa Bianca, ha condiviso una serie di proposte su come creare nuovi modelli per la manutenzione e la protezione del software open source:

  • Identificare progetti critici che potrebbero rappresentare un rischio sistemico, in modo da poter anticipare il livello di sicurezza richiesto e fornire risorse adeguate
  • Stabile le basi di sicurezza, manutenzione e test, per garantire che le infrastrutture nazionali e altri sistemi importanti possano fare affidamento su progetti open source. 
  • Aumento del sostegno pubblico e privato. Molte aziende e organizzazioni leader non riconoscono quante parti della loro infrastruttura critica dipendono dall'open source. Ecco perché è essenziale vedere maggiori investimenti pubblici e privati per mantenere quell'ecosistema sano e sicuro. Google ha proposto di creare una organizzazione che funga da marketplace per la manutenzione open source, abbinando i volontari delle aziende ai progetti critici che più necessitano di supporto. Google è pronta a contribuire con risorse per questo sforzo.