OpenSSF Siren si propone come piattaforma centralizzata dove condividere in modo formalizzato le informazioni sulla sicurezza dei progetti open source
Lo si dice da anni: nel campo della cybersecurity condividere tutte le informazioni possibili è un elemento chiave per difendersi meglio. Anche perché i "cattivi", a quanto pare, sono già decisamente bravi a mettere a fattor comune le loro conoscenze su come "bucare" le infrastrutture IT. Il tema è genericamente quello della threat intelligence, un campo molto ampio in cui le aziende utenti hanno sempre l'impressione di saperne meno di quanto dovrebbero.
Il problema è molto sentito in campo open source. Un po' perché l'open source è ormai una presenza cospicua in qualsiasi infrastruttura IT, molto però anche perché proprio l'open source viene spesso messo sul banco degli imputati per una presunta sua poca affidabilità. In parte questo sospetto è fondato, ma più per colpa di chi l'open source lo usa ma non si cura di gestirlo, che per responsabilità di chi lo sviluppa in prima persona.
Comunque sia, c'è certamente la necessità di condividere meglio le informazioni riguardanti le potenziali vulnerabilità del codice e dei progetti open source. Anche perché quando questi sono integrati in prodotti commerciali, la "vulnerability disclosure" diventa un processo complicato ed a volte persino artificiosamente limitato. Per questo la Open Source Security Foundation (OpenSSF) ha dato vita a Siren, una piattaforma centralizzata - di fatto al monento è principalmente una mailing list - attraverso cui condividere informazioni di threat intelligence collegate ai progetti open source.
"Lo scopo di OpenSSF Siren - si legge sul portale dell'iniziativa - è quello di incoraggiare la discussione pubblica delle falle, dei concetti e delle pratiche di sicurezza nella comunità open source con persone che storicamente non sono impegnate nei, o non monitorano i, tradizionali canali di comunicazione". L'obiettivo di Siren è quindi "integrare e potenziare i canali esistenti, come i blog e gli advisory dei progetti [open source]" e le mailing list già dedicate alla cybersecurity.
Lo sforzo che sta dietro Siren coinvolge in primo luogo chi partecipa ai singoli progetti open source, i ricercatori di sicurezza e gli sviluppatori. Sono le figure coinvolte direttamente nella gestione degli incidenti di sicurezza collegati all'open source. E sono anche le figure che più da vicino sono state toccate da casi recenti in cui threat actor ben organizzati hanno cercato di sfruttare la "vulnerabilità personale" di chi porta avanti progetti open source.
La necessità a cui guarda Siren è anche quella di uscire dal circolo relativamente ristretto delle figure più attive nei progetti open source. "Anche se la comunità [open source] dispone di metodi collaudati per comunicare le vulnerabilità agli altri membri della community stessa - si spiega - non disponiamo di un mezzo per comunicare in modo efficiente le informazioni sugli exploit al più ampio pubblico a valle".
L'idea è anche che le piattaforme commerciali di threat intelligence non coprano al meglio l'open source e non coinvolgano sempre la comunità open source. OpenSSF Siren vuole colmare questa lacuna. Sempre in modo responsabile: per evitare qualsiasi rischio di fraintendimenti, la OpenSSF sottolinea chiaramente che Siren non è un canale dove distribuire informazioni in maniera indiscriminata, cosa che metterebbe a rischio la sicurezza cyber di persone e aziende.
Siren è cioè un canale per condividere informazioni magari in tempo reale ma comunque su vulnerabilità pubbliche e già oggetto di exploit, non per "disclosure" improvvise che aiuterebbero più i threat actor che chi usa l'open source. "Tutti i problemi di sicurezza che si pubblicano su Siren devono essere già pubblici o devono essere già stati resi pubblici entro il momento della pubblicazione", si spiega.