Itt az új szoftverbiztonsági minimum
Új kezdeményezést indít a Linux Foundation, az új logót azok a szabad szoftveres projektek tehetik majd ki, amelyek betartják az IT-biztonságra vonatkozó legjobb iparági gyakorlatot.
Emelné a szabad szoftveres projektek biztonságát a Linux Foundation. Az alapítvány most a Core Infrastructure Initiative Best Practices (CII) néven új minősítési programot indított, amelyet azok a fejlesztési projektek tehetnek ki, amelyek megfelelnek néhány nagyon alapvető kritériumnak és követik az iparági gyakorlatot. A CII kimondott célja emelni a minimális biztonságot a szabad szoftveres projekteknél, ezért olyan kritériumokat fogalmaz meg, amelyek ma már alapvető elvárásnak számítanak az informatikában. Ilyen közösen elfogadott legalsó léc azonban eddig nem nagyon létezett, ezen változtatna az új kezdeményezés.
Ezt mindenkinek meg kell ugrani
A kritériumok között ezért olyan elvárások szerepelnek, hogy a projektnek legyen dedikált bug- és sebezhetőség-bejelentő folyamata (levelezőlistája vagy issue trackere - ez utóbbi az ajánlott), a projektnek pedig kötelező módon láttamoznia kell az elmúlt 2-12 hónapban beadott jelentéseket (tehát maximum két hónapot várhatnak a hibajelentések). Válaszolni nem kötelező ezekre, de ajánlott. A fontosabb kritériumok között szerepel, hogy legalább egy "fő fejlesztőnek" kell lennie, aki járatos a biztonságos szoftverfejlesztés alapelveiben (safe-by-default, stb.) és aki ismeri a szoftvertípus ellen elkövetett leggyakoribb támadástípusokat és az azok elleni védekezés módszereit.
A titkosításra vonatkozó kitételek szigorúbbak: a jelvény csak olyan projektnek jár, amely nyilvános, nyílt forráskódú, szakemberek által bevizsgált titkosítási protokollokat és algoritmusokat használ. A feltételek között szerepel, hogy a kulcshosszúság, a felhasznált protokollok és egyéb paraméterek meg kell feleljenek az alapvető iparági szabványoknak (például a NIST által közölt minimumoknak). Szintén nagyon szirogú és fontos kitétel, hogy jelszót kötelező módon csak iterált hash formájában, felhasználónként eltérő "sóval" lehet tárolni, ennél gyengébb formátumban (salt nélküli hash-ként, neadjisten sima szövegként) soha.
Hogy mennyire fontos a kritériumrendszer, azt az OpenSSL példájával illusztrálják a kidolgozók. A Heartbleed-sebezhetőség nyomán ugyanis a projekt jelentős és mély reformon ment át, új folyamatokat és új gyakorlatot vezetett be a csapat, amivel a szoftver sokkal biztonságosabbá vált. Ezért a CII egyik oktatópéldája a Heartbleed előtti OpenSSL és a megreformált OpenSSL - míg az előző csak a kritériumok 62 százalékának felel meg, utóbbi már kényelmesen kipipálja az összes elvárást. A minősítést egyébként már olyan más projektek is megszerezték, mint a Curl, a GitHub, a Linux kernel, az OpenBlox, a Node.js és sokan mások.
Új iparági minimum
A kritériumok betartása nyilván nem a legjobban támogatott és gyorsan fejlődő szabad szoftveres projektek számára lesz kihívás, és nem is itt lesz a legtöbb hozadéka a programnak A szabad szoftveres közösségben azonban több millió (!) egyedi fejlesztés készül, ha ezt a minimum kritériumrendszert többségük betartja, akkor az informatikai biztonság globálisan hatalmasat léphetne előre.
Apró, de annál fontosabb jelek. Érdemes lesz figyelni rá.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
A kezdeményezés kidolgozói egyébként nagyon odafigyeltek arra, hogy a kritériumok lehetőség szerint teljesen technológia- és eszközfüggetlenek legyenek, vagyis sem platform, sem nyelv, sem egyéb ponton nem tesz megkötést a CII. Ez egyébként az egyik gyenge pontja a kezdeményezésnek, hiszen bizonyos nyelvek esetében például kiköthető lenne például bizonyos kódolási szabványok betartása, vagy a forráskód-menedzsment illetve például a verziózás területén is roppant lazák a kritériumok (a semver például csak ajánlott, nem kötelező).
A CII önbevallásos rendszerre épít, tehát a projektek az űrlap kitöltésével és a megfelelő adatok megadásával önmagukat minősíthetik, így a megfelelőség "becsszó alapon" működik majd. A minősítést szerzett projekteket ezen a weboldalon lehet majd követni, üzemeltetőknek érdemes lesz majd odafigyelni, hogy csak olyan szoftvercsomagokat használjanak, amelyek legalább ennek az alapvető kritériumrendszernek megfelelnek. A feltételek szerint egyébként a badge annak a projektnek jár, amely az összes kötelező elemnek megfelel, és csak jól körülhatárolható indok esetében nem teljesíti az ajánlott elemeket.
A kezdeményezéshez egyébként egy ösztöndíjprogram is társul, néhány nagy cég (Amazontól a Microsofton át a VMware-ig) összedobott néhány millió dollárt, amelyre a fontosabb, de erőforráshiányos szabad szoftverek pályázhatnak a biztonságos fejlesztést elősegítendő.