Marco de seguridad para software de código abierto

La Open Source Security Foundation (OpenSSF) ha anunciado un "hito significativo" tras publicar un nuevo conjunto de mejores prácticas diseñadas para mejorar la postura de seguridad de los proyectos de código abierto.

El documento Open Source Project Security Baseline (OSPS Baseline) describe las distintas tareas, procesos, artefactos y configuraciones que los desarrolladores deben implementar para mitigar el riesgo, mejorar la confianza y mejorar el cumplimiento de las regulaciones globales como la Ley de Resiliencia Cibernética (CRA) de la UE.

También está alineada con otros estándares y marcos de mejores prácticas como el Marco de desarrollo de software seguro (SSDF) del NIST. La línea de base de OSPS se compiló a partir de las guías de mejores prácticas existentes proporcionadas por la OpenSSF y otros grupos de la industria, y ofrece un "marco escalonado" de actividades que variarán según la madurez del proyecto.

La administradora de la comunidad de código abierto independiente, Stacey Potter, afirmó que la iniciativa se ha beneficiado de los comentarios durante la implementación piloto. "Sabemos que puede ser difícil navegar por todos los estándares de seguridad que existen, por lo que creamos un marco que crece con su proyecto. Nuestro objetivo es eliminar las conjeturas y ayudar a los mantenedores a sentirse seguros sobre su posición, sin agregar estrés adicional. Se trata de empoderar a la comunidad y hacer que el código abierto sea más seguro para todos".

Ben Cotton, líder de la comunidad de código abierto en Kusari y co-mantenedor de OSPS Baseline, dijo que el enfoque está en proporcionar "orientación práctica y procesable" para ayudar a los desarrolladores a mejorar la postura de seguridad: "Con demasiada frecuencia, el asesoramiento de seguridad es vago o poco práctico, pero Baseline tiene como objetivo cambiar eso. Cada mejora en la seguridad de código abierto fortalece el ecosistema de software moderno, haciéndolo más seguro para todos".

Jamie Scott, gerente de producto fundador en Endor Labs, dio una bienvenida cautelosa a la iniciativa, pero argumentó que no se puede esperar que los proyectos más pequeños sigan las pautas: "La línea de base de seguridad OpenSSF es un arma de doble filo para la industria. Tiene el potencial de hacernos avanzar o frenarnos. La clave es cómo lo usemos", argumentó. "Lo razonable es hacer visibles los niveles de madurez para que el sector privado pueda tomar decisiones informadas sobre la gestión de riesgos. Así es como hacemos que estas líneas de base sean un símbolo significativo de la madurez de los proyectos de código abierto".

Mike McGuire, gerente sénior de Black Duck, dijo que la línea de base OSPS debería ayudar a mitigar los riesgos de la cadena de suministro de software: "Iniciativas como el control de acceso, la gestión de vulnerabilidades y la protección de sucursales bloquean los caminos comunes que utilizan los atacantes para apoderarse de un proyecto legítimo y plantar las semillas para un ataque a la cadena de suministro", dijo.

Sin embargo, sin importar lo que hagan los propietarios de proyectos, ninguna aplicación comercial será más segura si las organizaciones de desarrollo no invierten más en la gestión del código abierto que utilizan. Si las organizaciones de desarrollo no rastrean los proyectos de código abierto que utilizan y no los evalúan en cuanto a riesgos o su adherencia a marcos como la línea de base OSPS, entonces seguirán luchando con vulnerabilidades persistentes.

Fuente: InfoSecurity

Suscríbete a nuestro Boletín