La Casa Bianca è critica sul software Open Source. Occorrono nuovi requisiti più stringenti e avvia una RFI

La Casa Bianca e una serie di agenzie governative statunitensi stanno sviluppando politiche per rafforzare la sicurezza informatica. I rappresentanti lo hanno annunciato giovedì scorso. L’obiettivo è garantire l’uso di software open source sicuro e incoraggiare i cittadini a passare a linguaggi di programmazione affidabili.

Pertanto la Casa Bianca ha convocato il governo e le parti interessate del settore privato per discutere le iniziative per migliorare la sicurezza del software open source e i modi in cui la nuova collaborazione potrebbe portare rapidamente a miglioramenti. 

Il software è onnipresente in ogni settore dell’economia statunitense – riporta la casa bianca – ed è fondamentale che i prodotti e i servizi che gli americani utilizzano ogni giorno siano sicuri.

Il software open source offre un valore unico e presenta sfide di sicurezza uniche, a causa della sua ampiezza di utilizzo e del numero di volontari responsabili della sua manutenzione continua della sicurezza. 

A questo proposito, dalla pubblicazione della Strategia nazionale per la sicurezza informatica all’inizio di quest’anno, il CISA e altre agenzie si sono concentrate su definire quali algoritmi possono essere utilizzati nella fase di sviluppo di un prodotto.

Un altro motivo per cui i requisiti per l’utilizzo dell software open source sono diventati più severi negli ultimi due anni è stato causato dalla famosa vulnerabilità Log4j. Teale bug ha suscitato clamore a livello internazionale ed è diventato uno dei più utilizzati sia dai criminali che da altri stati avversari.

Kemba Walden, Acting National Cyber ​​Director, ha recentemente affermato in una conferenza Black Hat che anche i suoi figli che giocano a Minecraft, attraverso i loro dispositivi potrebbero innescare una crisi di sicurezza nazionale. Ciò riflette bene l’opinione del politico sul livello di protezione nei sistemi informativi del governo. Nota inoltre che circa il 90% di tali sistemi è ancora open source.

La sfida ora è riscrivere i componenti software critici in linguaggi sicuri. Ad esempio, Microsoft ha già riscritto il suo gateway Simple Mail Transfer Protocol per Exchange in C#. Esistono anche un toolkit IoT in cui le librerie di aggiornamento automatico e controllo remoto sono scritte in Rust. 

Gli esperti intendono stimolare la ricerca di sezioni di codice critiche e quondi avviarre la relativa loro sostituzione.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.