Open Source Security Foundation (OpenSSF) objavila je novu mejling listu pod nazivom Siren koja ima za cilj širenje obavještajnih podataka o prijetnjama vezanim za projekte otvorenog koda.
Od otkrića problema Log4j , sigurnost projekata otvorenog koda postala je kritična briga za nacionalnu sigurnost . Nedavne situacije oko XZ Utils-a i OpenJS-a ponovo su izazvale zabrinutost oko toga kako zajednica otvorenog koda rukuje sajber-sigurnošću.
Sirena će biti javno vidljiva i bit će potrebna samo registracija za objavljivanje na listi.
Generalni direktor OpenSSF-a Omkhar Arasaratnam rekao je da su na nedavnom događaju otvorenog koda članovi zajednice vodili stonu vježbu u kojoj su simulirali sigurnosni incident koji uključuje otkrivanje ranjivosti nultog dana.
Prošli su svoj put kroz ekosistem otvorenog koda – od dobavljača oblaka do održavatelja do krajnjih korisnika – jasno definišući kako će se otkrivanje ranjivosti rješavati od vrha do dna.
Ali jedno od mjesta gdje su otkrili prazninu je širenje informacija.
„Ono što nam nedostaje unutar zajednice otvorenog koda je mjesto na kojem se možemo okupiti kako bismo distribuisali indikatore kompromisa, MOK-a i prijetnje, taktike i procedure, TTP-ove, na način koji će omogućiti zajednici da identifikuju prijetnje kada su naši paketi pod napad”, rekao je Arasaratnam.
„Dakle, u drugim industrijama, kao u finansijskom sektoru, imaju ISAC za distribuciju ovakvih informacija o prijetnjama kada ljudi napadaju finansijski sektor. Tako da ćemo napraviti mailing listu za koju možemo podijeliti ove informacije u cijeloj zajednici i može se raspravljati o stvarima koje se vide. I to je jedan od načina na koji reagujemo na ovaj jaz koji smo vidjeli.”
OpenSSF je objasnio da, iako postoje alati poput oss-security mailing liste — koji pomažu u komuniciranju ranjivosti unutar zajednice — postoji „nedostatak efikasnih kanala za razmjenu informacija o eksploataciji sa širom publikom, uključujući projekte otvorenog koda, distributere, sigurnosni istraživači i programeri.”
Sirena mailing lista će podstaći javne rasprave o sigurnosnim nedostacima, konceptima i praksi u zajednici otvorenog koda s pojedincima koji obično nisu uključeni u tradicionalne kanale komunikacije uzvodno.
Rekli su da će se fokusirati na operativni uticaj i odgovor, a ne samo na koordinaciju ranjivosti i da će služiti kao sredstvo za informisanje zajednice o prijetnjama i aktivnostima nakon otkrivanja.
Christopher Robinson, direktor sigurnosnih komunikacija u Intelu, i strateg OpenSSF ekosistema Bennett Pursell objasnio je da softver otvorenog koda trenutno pokreće do 90% modernog softvera – što ga čini važnim zupčanikom u svemu, od web servera do mobilnih aplikacija.
Uprkos svojoj važnosti, zajednica nema načina da efikasno komunicira informacije o eksploataciji sa širom publikom.
Sirena je zamišljena da bude “sredstvo nakon otkrivanja informacija za informisanje zajednice o prijetnjama i aktivnostima nakon početnog dijeljenja i koordinacije”, rekli su njih dvojica.
Članovi liste e-pošte Siren će u realnom vremenu primati ažuriranja o novim prijetnjama koje mogu biti relevantne za njihove projekte.
OpenSSF se nada da će mailing lista podstaći kulturu zajedničke odgovornosti i kolektivne odbrane.
“Iskoristivši kolektivno znanje i stručnost zajednice otvorenog koda i drugih stručnjaka za sigurnost, OpenSSF Siren osnažuje projekte svih veličina kako bi ojačali njihovu cyber sigurnost i povećali njihovu ukupnu svijest o zlonamjernim aktivnostima”, rekli su Robinson i Pursell.
“Bilo da ste programer, sigurnosni entuzijasta, vaše učešće je od vitalnog značaja za očuvanje integriteta softvera otvorenog koda.”
OpenSSF je kreirao stranicu za registraciju za sve zainteresovane i pozvao druge da podijele listu e-pošte s drugim članovima zajednice otvorenog koda.
Robinson, koji također služi kao predsjedavajući Tehničkog savjetodavnog vijeća OpenSSF-a, rekao je za Recorded Future News da do sada nije bilo fokusiranih napora na dijeljenju detalja o aktivnim eksploatacijama za dalje potrošače i zaštitnike preduzeća.
Robinson je rekao da očekuje da će vladine agencije, istraživači sigurnosti, branitelji i drugi biti uključeni u napore.
Izvor: The Record
