Homeland Security kommer in programvara säkerhet

PORTLAND – Nej, jag gör inte det här. Vid OSCON, Department of Homeland Security (DHS), mest känd för dig som människor som checkar in på dig mellan flygplatsen parkeringen och din flight, tyst meddelat att de nu är att erbjuda en tjänst för att checka ut din öppen källkod för säkerhetshål och buggar: Software Assurance Marketplace (SWAMP).

“Varför frågar du?

Eftersom Patrick Beyer, träsk projektledare på Morgridge Institutet för forskning, projektets huvudentreprenör, förklarade: “Med open source popularitet, fler och fler statliga grenar använda öppen källkod. Vissa gripa kod härifrån, där och överallt. ” Förståeligt, “det finns mer och mer oro över säkerheten och kvaliteten på denna kod. Vi är en plats som du kan gå att checka in koden

Detta är sant, men regeringen har använt programvara med öppen källkod sedan före frasen “open source” eller till och med den tidigare frasen “fri mjukvara” existerade. Några av NASA: s COSMIC fri vetenskaplig kod samling, till exempel, går tillbaka till 1960-talet och Veterans Affairs “Veterans Health Information Systems and Technology Architecture (Vista), den första elektroniska patientjournaler (EHR) system inleddes i början av 1980-talet.

Under min egen tid på NASA på 1980-talet, var Linux infördes. Strax därefter, den första Linux superdator arkitektur, Beowulf, skapades på Goddard Space Flight Center (GSFC) 1995. På senare tid, under 2010, den populära öppen källkod moln program Openstack, fick sin början som ett gemensamt projekt mellan Rackspace och NASA .

Så det är att myndigheter har länge både begagnade och skapade programvara “öppen källkod”. Vad har saknats, och vad träsket försöker ge, är ett centraliserat sätt att kontrollera koden för fel och säkerhetsproblem.

Medan SWAMP finansieras genom ett bidrag $ 23.400.000 från Department of Homeland Security Science & Technology Directorate (DHS S & T), är SWAMP designats av forskare från Morgridge Institute, University of Illinois-Champaign / Urbana, Indiana University, och University of Wisconsin-Madison. Var och en ger en bred erfarenhet inom programvaruförsäkring, säkerhet, öppen källkod mjukvaruutveckling, nationella distribuerade anläggningar och identitetshantering till projektet.

Träsket servrar själva är värd på Morgridge Institute i Madison, WI. Vid Institutet, är de klustrade servrar hålls på en säker anläggning. Träsk klustret har för närvarande 700 kärnor, 5TBs RAM, och 100TBs för förvaring för att möta de kontinuerliga försäkringsbehov flera programvaru och verktygs utvecklingsprojekt. SWAMP öppnade sina tjänster till samhället i februari 2014 erbjuder fem öppen källkod statiska analysverktyg som analyserar källkoden för eventuella defekter säkerhets utan att behöva köra programmet.

Dessa verktyg finns för närvarande

Varför många brädor lämnar IT-säkerhet i första hand till säkerhetstekniker, och varför kan inte datanörd övertyga sina styrelser att spendera knappa pengar på att skydda information intressenter? Vi erbjuder vägledning om hur man stänger IT-säkerhetsstyrning gap.

Enligt träsk, “Dessa statiska analysverktyg översyn programkod och söka för applikations kodning fel, oavsiktliga eller avsiktliga, som kan ge hackare tillgång till kritisk företagsdata och kundinformation. Var och en av dem har visat sig vara en effektiv SWA åtgärd. Det nya gränssnitt gör det enkelt för utvecklare att tillämpa en eller flera av dessa verktyg till ett enda programpaket. ”

Dessutom, träsk värd nästan 400 öppen källkod paket för att göra det möjligt för utvecklare av verktyg för att lägga till förbättringar i både precision och omfattningen av deras verktyg. Ovanpå det träsket ger utvecklare med programvarupaket från National Institute of Standards and Technology: s (NIST) Juliet Test Suite.

Juliet Test Suite är en samling av över 81.000 syntetiska C / C ++ och Java public domain program med kända brister. Dessa kända brister används för att testa effektiviteten av statiska analysatorer och andra Software Assurance verktyg. Juliet Test Suite omfattar 181 olika gemensam svaghet Uppräkningar (CWEs) och inkluderar även liknande, men icke-bristfällig, kod för att testa verktyg diskriminering.

Beyer tillade att träsket team “håller de verktyg uppdateras och stöds för dussintals versioner av Linux för att testa igen. Samtidigt tack vare sin integrerade visningsprogram för alla dess verktyg träsket är lätt att använda.” Träsk s testsviter kan användas utan kostnad av både statliga och andra programmerare.

Programvaran har blivit en kärn tyg till alla aspekter av våra liv. Det är integrerad i driften av våra hushållsapparater, inbäddade enheter, kassasystem, obemannade, och naturligtvis våra mobila enheter, och vi får inte glömma att program befogenheter vår kritiska infrastruktur. Den allestädes närvarande karaktär programvara gör oss alla sårbara och känsliga för eventuella attacker “, säger Software Assurance chef Kevin E. Greene DHS S & T i ett förberett uttalande.” DHS S & T inser vikten av programvara; träsk är ett svar på bättre skydda denna nation och förbättra kvaliteten på programvara som driver vår kritiska infrastruktur, Internet, och vårt dagliga liv.

FindBugs: Identifierar fel i Java-program med Java bytekod snarare än källkoden, PMD. Hittar vanliga programmerings brister i Java, JavaScript, XML och XSL tillämpningar, cppcheck. Upptäcker fel vanligtvis missade av kompilatorer i C och C ++ språk .; klang Static Analyzer: Hittar buggar i C, C ++ och Objective-C-program, GCC. GNU C-kompilator används för att säkerställa C och C ++ kod är syntaktiskt korrekt, check. Utvärderar ett brett utbud av programmering stilregler för Java. ; felbenägen: Detta verktyg finner brott i Java-kod med hjälp av Googles bästa praxis programmeringsstil.

Heartbleed: Öppen källkod värsta timme, Coverity finner öppen källkod kvaliteten bättre än egen kod, Cash, infrastruktur initiativet Core, och open source-projekt, Cloud integrator testa appen migrationstestverktyg, NASA öppnar den öppen källkod dörrar

“Eftersom nätverksperimetern har säkrat till en hög grad, de flesta angrepp nu riktas mot applikationer, vilket gör behovet av att bedöma programvara mer kritisk än någonsin”, avslutade Beyer. “SWAMP ger enkel tillgång till en kraftfull plattform som sänker kostnaderna och komplexiteten barriärer Software Assurance. Det gör att dagens mjukvaruutvecklare och säkerhetspersonal för att öka graden av förtroende för att deras mjukvara är fri från sårbarheter antingen avsiktligt eller oavsiktligt utformade i programvaran under dess livscykel. Nu, dagens yrkesverksamma har en rad verktyg för att säkerställa sina programfunktioner på avsett sätt. ”

Åh, och eftersom jag vet att några av er undrar “Hur kan jag lita på min kod till DHS !? Beyer försäkrade blivande användare att” All träsk aktiviteter som utförs av användarna hålls helt konfidentiellt. Den enda som ser koden är du och träsket systemadministratörer. På något sätt gör att testa dina program på SWAMP ge regeringen någon tillgång, kontroll, eller rättigheter till dina program.

Personligen medan jag tror fortfarande DHS är en osannolik sponsor för detta projekt – National Security Agency (NSA) eller NIST verka som dess mer naturliga hem – Jag tror Träsk låter som en mycket användbar one-stop för alla som vill dubbel kontrollera deras förproduktion kod för fel innan de släpps.

 Berättelser

Säkerhet, FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän, säkerhet, WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål, säkerhet, Vita huset utser först Federal Chief Information Security Officer, säkerhet, Pentagon kritiseras för cyber -emergency svar av regeringen vakthund

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän

WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål

Vita huset utser först Federal Chief Information Security Officer

Pentagon kritiserats för cyber nödsituationer av regeringen vakthund