Öppen källkod Security Summit 2021 Sammanfattning

Läs mer om det årliga säkerhetsmötet med öppen källkod.

På Open Source Security Summit 2021 utforskade deltagarna framsteg inom öppen källkodssäkerhet och hur man kan ge individer och företag möjlighet att hantera legitimationsuppgifter. I december 2021 samlade toppmötet användare, företagsledare och branschvisionärer för att kartlägga en väg för att ytterligare expandera säkerhetslösningar med öppen källkod.

Det andra årliga Open Source Security Summit var fullspäckat med insikter från branschledarna Tutanota och Mattermost, kändisgästerna Steve Wozniak, Nicole Perlroth och Bruce Schneier, och passionerade, informativa samtal med experter om skärningspunkten mellan öppen källkod och säkerhet.

Här är de viktigaste tipsen från Open Source Security Summit 2021.

Tre av de många höjdpunkterna från detta toppmöte var våra chattar med Steve Wozniak, medgrundare av Apple, Nicole Perlroth, bästsäljande författare och cybersäkerhetsjournalist för The New York Times, och Bruce Schneier, internationellt känd teknolog.

Woz talade om många ämnen, från sina hundar till hur Steve Jobs var när de gick i gymnasiet tillsammans. Men främst delade han sina tankar om vad som gör lösningar med öppen källkod extraordinära. Han sa att öppen källkodsteknik låter dig "anpassa din egen värld" på ett sätt som företag med stängd källkod helt enkelt inte kan. Med öppen källkod är du inte föremål för ett gäng företag som fattar beslut av sina egna skäl. Du har kontroll över var din produkt går och vad du behöver den för att göra.” Open source-gemenskapen, enligt Woz, är exakt rätt plats för "den nyfikna, utforskaren och uppfinnaren." I vårt samtal med Woz höll han med:

"Principerna för öppen källkod är bra. Om du har lite teknik idag borde andra människor kunna se den så att de kan lära sig av den och utvecklas bortom den. Det är så all vår utbildning går till, och öppen källkod är verkligen bra för det – att ta avancerade steg baserat på vad vi hade tidigare och kunna se vilka möjligheter som finns.”

Han betonade fördelarna med att ha många hjärnor som arbetar tillsammans för att lösa problem och identifiera förbättringar: ”Ibland har människor ett unikt behov. Någon kanske använder en produkt och tänker: 'Tänk om den gjorde denna extra sak? Det skulle vara perfekt för mina kunder!'” Och så kan en ny dimension av produkten komma till stånd som kanske aldrig hade funnits annars.

Woz delade med sig av sin erfarenhet som utbildare och hur att vara entreprenör och arbeta med projekt med öppen källkod är bra sätt att lära sig djupgående vilken teknik som helst. Woz uppmanade:

”Jämställ inte skola med utbildning. Du får utbildning av allt du gör i livet. Alla elever är inte lika och ibland kväver skolans struktur kreativiteten.”

På frågan om vilka råd han skulle ge till nya entreprenörer sa Woz:

"Du måste vara säker på att passionen finns i dig och att det är viktigt för dig. Om det har funnits med dig hela ditt liv kommer du att göra det.

Startups, entreprenörskap och att starta företag är oerhört viktigt. Länders ekonomiska hälsa står på spel, men det är också det roligaste du någonsin kan ha i ditt liv att försöka göra något som inte fanns tidigare.

Du kanske måste byta riktning, du kanske till och med har några misslyckanden på vägen men det är absolut det roligaste när du jobbar hårt, hårt, hårt (och du är ung nog) du bara ser tillbaka och det är så otroligt vackert.”

Nicole Perlroth är den prisbelönta författaren till "This Is How They Tell Me The World Ends: The Cyber-Weapons Arms Race" och en cybersäkerhetsjournalist för The New York Times under det senaste decenniet.

I den här intervjun dyker Perlroth in i tillståndet för cybersäkerhet globalt och i USA, hotet om cyberkrigföring och individers betydelse i kampen mot cyberhot. Hon gjorde det klart att cybersäkerhet inte bara är ett regerings- eller militärt problem, det påverkar oss alla. Många människor tenderar att prata om cybersäkerhet i USA som om "vi är en ö som är åtskilda av två hav och på internet är det helt enkelt inte fallet." Perlroth förklarade också historien om den första kända internationella cyberattacken, Stuxnet, och berättade den gripande historien om Ahmed Mansoor, en människorättsaktivist i Emirati. Samtidigt som hon talade om många delar av cybersäkerhet och cyberkrigföring, var den huvudsakliga utgångspunkten från denna intervju följande metafor:

"En användbar liknelse är inte en "digital Pearl Harbor", utan en digital pandemi, för precis som pandemin nu måste regeringar sätta upp policyer, företag kommer att hjälpa till med vacciner och även sätta upp sina egna regler kring mandat och distansarbetskrafter, som individer behöver vi fortfarande maskera, socialt distansera och vaccineras - mycket av det beror på individuellt beteende.

Samma sak är sant med cybersäkerhet. Men om och om igen, det du hör är att folk säger: 'Jag har inget som är värt att stjäla så jag behöver egentligen inte oroa mig för det här. Jag behöver inte använda en lösenordshanterare, vem bryr sig om att hacka mig?'

Vad folk inte inser är att okej, du kanske inte har något viktigt, kanske är du den tråkigaste personen på jorden, men du kan vara en kanal för ett hack av din bror, syster, granne, företag, statlig myndighet eller ett hot mot nationell säkerhet.”

Perlroths avskedsråd för hur alla kan vara säkra online:

"Du kan inte överlista hackare när det kommer till stulna lösenord, det bästa du kan göra är att använda en lösenordshanterare och använda multifaktorautentisering... det är ett av våra bästa försvar."

Se hela intervjun

Bruce Schneier är författare till över ett dussin böcker, stipendiat och föreläsare vid Harvard, styrelseledamot i Electronic Frontier Foundation och chef för säkerhetsarkitektur på Inrupt, Inc.

Vår chatt med Schneier började med en diskussion om för- och nackdelar med öppen kontra stängd källkod. För Schneier är "öppen källkod ett netto positivt" men det finns en kritisk asterisk där för honom. Han förklarade:

"Inom säkerhet vill jag att koden ska analyseras. Jag behöver smarta människor som tittar på programvaran, hittar sårbarheterna och fixar dem.

Det finns två sätt jag kan göra det på. Jag skulle kunna vara som Microsoft, stängd källkod och anlita ett gäng experter för att stirra på koden, eller jag skulle kunna vara som Linux, öppen källkod och lita på att communityn gör det.

Båda dessa fungerar och båda misslyckas. Många mjukvaruföretag, de flesta av dem, är sluten källkod men anlitar inte någon för att titta på koden. Och det mesta av öppen källkod är öppen men ingen bryr sig om att titta på koden eftersom den är otydlig, ingen bryr sig, och det finns mängder av projekt med öppen källkod.

Det räcker inte med öppen källkod, vi måste uppmuntra människor att titta på koden. Jag skulle hellre ha ett projekt med öppen källkod än en stängd källkod – det finns en större chans att få ett bra resultat.”

Schneier diskuterade också framtiden för lösenord och autentisering. Han gav som ett exempel: när människor inte använder en lösenordshanterare förlitar de sig ofta på återställningsalternativet "glömt lösenord" för att komma in på sina konton via sin e-post. Vilket betyder att säkerheten för din e-post är det som säkrar dina andra konton, precis som säkerheten för innehållet på din telefon säkerställs av säkerheten för din fysiska telefon och din förmåga att komma in i den: ”Det är därför någon som hackar ditt Gmail-konto är så värdefullt. De kan ändra alla dina andra lösenord." Och det är därför den första prioriteringen efter att ha skaffat en lösenordshanterare är att säkra dina e-postkonton.

Medan lösenordslös autentisering vinner dragkraft och popularitet som koncept, tror Schneier att lösenord är här för att stanna:

"Det kommer alltid att finnas ett behov av den typen av autentiseringsgränssnitt. Så nej, jag tror inte att lösenord kommer att försvinna. Vi har fler lösenord än någonsin nu. Vi borde alla använda någon form av lösenordshanterare."

Toppmötet 2021 inleddes med två huvudtal från ledare inom säkerhetsbranschen med öppen källkod.

Ian Tien, VD för Matttermost, en samarbetsplattform för utvecklare med öppen källkod över team, verktyg och moln med 25K GitHub-stjärnor, 4K-bidragsgivare med öppen källkod och 30K-kodbidragsgivare, fokuserade sitt huvudtal på tre viktiga lärdomar av öppen källkodssäkerhet under premissen: "om det inte är öppet är det definitivt inte säkert."

Han började med att notera att "ingenting användbart kan vara säkert" eftersom "alla användbara system har sårbarheter" och även om vi kan minska dessa sårbarheter kan vi inte eliminera dem alla. "Säkerhet handlar om att göra avvägningar" mellan användbarhet, risk och resurser.

Det andra konceptet han täckte var det kanske ointuitiva: "Skaffa PWN3D (etiskt)", vilket innebär att bjuda in etisk säkerhetsforskning via en policy för ansvarsfullt avslöjande - be gemenskapen att identifiera dina sårbarheter och sedan fira dem för vad de hittar, "kommunicera till din gemenskap att du är investerad i deras säkerhet."

Del tre är enkel: gör rätt sak genom att kontrollera dina beroenden och stödja din leveranskedja.

"Hemligheten med öppen källkod och säkerhet gjort rätt: ju mer du ger bort, desto mer behåller du.

I slutändan handlar säkerhet om tillit. När du skapar förtroende från din gemenskap, leveranskedja, slutanvändare och kunder – det är hela bollspelet av säkerhet.”

Gå med i Mattermost-gemenskapen här.

Se Mattermost keynote-inspelning

Hanna Bozakov, marknadschef under de senaste sju åren på Tutanota, världens första end-to-end-krypterade posttjänst som krypterar hela brevlådan, betonade i sitt huvudtal:

"Säkerhet bygger på transparens. Vi tror att säkerhet bara är möjlig med öppen källkod.”

När koden för ett projekt publiceras på GitHub kan alla se vad som görs och själva se att det inte finns någon bakdörr in i produkten. Öppen källkod kräver inte samma förtroende som en produkt med sluten källkod; Beviset på att projekt som Tutanota är säkra finns i koden, som är synlig för alla att granska. Denna öppenhet främjar naturligtvis gemenskap, och genom att göra koden tillgänglig för alla att se, bjuder du in feedback och förslag från dina användare som påskyndar förbättringen av produkten:

"Communityn tillåter oss att göra Tutanota bättre snabbare. Vi får regelbundet förbättringsförslag och pull-förfrågningar från våra användare, vilket påskyndar vår utvecklingsprocess.”

Gå med i Tutanota-projektet här för att arbeta på ett säkert alternativ till Google och Microsoft.

Titta på Tutanotas keynote-inspelning

Toppmötet 2021 inkluderade också två sessioner ledda av användare av säkerhetsprogramvara med öppen källkod som erbjöd sina insikter om fördelarna med och användningarna av teknik med öppen källkod när det kommer till säkerhet i deras företag.

Ed Horn, en Software Product Manager på Automated Logic, delade med sig av sin insikt från att arbeta under Carrier Global i mer än ett decennium. I sin presentation illustrerar han hur hans team valde partner med öppen källkod för sitt företags lagringslösning för autentiseringsvalv för att skala byggnadshantering.

Se inspelningen

Shane Rodness, systemadministratör vid MaRS Discovery District, som stödjer Kanadas mest lovande startups, talade om hur organisationer kan utnyttja öppen källkod i den oändliga jakten på säkrare miljöer.

Se inspelningen

Öppen källkod Security Summit 2021 avslutades med en expertpanel med Dr. Raphael Reischuk, chef för cybersäkerhet och framstående konsult vid Zühlke, Dr. Sal Aurigemma, docent i datorinformationssystem vid University of Tulsa, och Lisa Plaggemier, interim-exekutiv direktör för National Cybersecurity Alliance.

Paneldeltagarna inledde med råd till företagsledare som försöker förbättra säkerhetsrutiner bland sina anställda och en diskussion om hur företag kan samarbeta med akademiska institutioner och studenter för att bättre införa säkerhetsrutiner innan studenterna går ut på arbetsmarknaden. Dr. Reischuk instämde i Mattermosts huvudanförande om att organisationer proaktivt och etiskt bör hacka sig själva innan ett säkerhetsintrång inträffar. Enligt Dr. Reischuks erfarenhet är detta en av de bästa övningarna för att skapa medvetenhet från medarbetare upp till ledningsgruppsnivå inom en organisation så att alla kan förstå vad och vem som är sårbara. När svagheterna har identifierats har du en tydlig väg framåt för prioriteringar. Lisa Plaggemier noterade vikten av tonläge i de meddelanden vi skickar och samtal vi har kring cybersäkerhet:

"Vi använder militaristiska språk som "attack" och "hot", och den genomsnittliga personen kommer att ha en kamp-eller-flykt-svar på det, och det får människor att koppla av. Vi borde prata om den sinnesfrid du får när du använder en lösenordshanterare, eller bekvämligheten och hastigheten med att använda en, istället för att prata om alla läskiga anledningar till varför du bör använda en."

Samtalet rörde sig om hur företag kan utbilda anställda om bästa praxis inom säkerhet och hålla sina anställda engagerade. Dr. Reischuk gav insikt i Schweiz digitala integritets- och säkerhetslagar och hur de påverkar regeringen och den offentliga sektorn.

Plaggemier talade om det arbete som National Cybersecurity Alliance gör varje oktober under National Cybersecurity Awareness Month i samarbete med Cybersecurity and Infrastructure Security Agency (CISA). Hennes råd? Mata inte folk med lunch, gör dem hungriga. Hon uppmuntrar dem i cybersäkerhetsområdet att ge råd till specifika grupper genom engagerande, konsumentklassat innehåll som gör människor hungriga efter att lära sig mer. Säkerhetsråden för en mjukvaruutvecklare skiljer sig till exempel från de säkerhetsråd du skulle ge din mamma eller dina barn. Cybersäkerhetsmeddelanden på hög nivå från ledare i den här branschen måste spegla och tjäna dessa olika behov.

Panelen avslutade med en diskussion om hur öppen källkod och säkerhet går samman för att hjälpa företag. Dr Aurigemma betonade vikten av gemenskapsaspekten av projekt med öppen källkod när det gäller utbildning och karriärövergångar. Verktyg med öppen källkod kommer med ett inbyggt supportnätverk av människor som arbetar tillsammans för att hitta lösningar:

"Säkerhetsverktyg med öppen källkod har en enorm plats för att förbereda den framtida arbetskraften, oavsett om det är studenter eller personer som går över från olika karriärområden, för att förstå vad det kommer att krävas för att hjälpa till att säkra nationen och världen framåt." - Dr Aurigemma

"Öppen källkod är den grundläggande förutsättningen för att få rätt säkerhet." - Dr Reischuk

Se säkerhetsexpertens rundabordsinspelning

Open Source Security Summit är ett forum för att utforska skärningspunkten mellan öppen källkod och säkerhet. Under 2020, vårt första år, valde vi att fokusera på legitimationshantering, vilket förblir en viktig första försvarslinje för individer och företag för att mildra cyberattacker.

Se sessionsinspelningarna från Open Source Security Summit 2020.

Under 2021 utökade vi till att täcka säkerhet med öppen källkod mer brett, och engagerade en gemenskap av likasinnade entusiaster som delar sina ideal och taktik för att göra säkerheten med öppen källkod bättre förstådd och tillgänglig för programvaruutvecklare och användare.

Se sessionsinspelningarna från Open Source Security Summit 2021.

Vi ses på Open Source Security Summit 2022!

Följ Bitwarden på Twitter för att få meddelande om våra framtida evenemang.

In this interview, Perlroth dove into the state of cybersecurity globally and in the U.S., the threat of cyber warfare, and the importance of individuals in the fight against cyber threats. She made it clear that cybersecurity is not simply a government or military problem, it affects all of us. Many people tend to talk about cybersecurity in the U.S. as if “we’re an island separated by two oceans and, on the internet, that’s just simply not the case.” Perlroth also explained the history of the first known international cyber attack, Stuxnet, and told the moving story of Ahmed Mansoor, an Emirati human rights activist. While she spoke about many elements of cybersecurity and cyber warfare, the main takeaway from this interview was the following metaphor:

“A useful analogy isn’t a ‘digital Pearl Harbor,’ but a digital pandemic because like the pandemic now, sure governments need to set policies, businesses will help with vaccines and also set up their own rules around mandates and remote workforces, as individuals we still need to mask up, socially distance, and get vaccinated - a lot of it comes down to individual behavior.

The same thing is true with cybersecurity. But over and over again, what you hear is people saying: ‘I don’t have anything worth stealing so I don’t really need to worry about this. I don’t need to use a password manager, who cares about hacking me?’

What people don’t realize is that, ok, maybe you don’t have anything important, maybe you’re the most boring person on earth, but you could be a conduit for a hack of your brother, sister, neighbor, company, government agency, or a national security threat.”

Perlroth’s parting advice for how everyone can stay secure online:

“You can’t outsmart hackers when it comes to stolen passwords, the best thing you can do is use a password manager, and use multi-factor authentication… it’s one of our best defenses.”

Bruce Schneier is the author of over a dozen books, a fellow and lecturer at Harvard, a board member of the Electronic Frontier Foundation, and the Chief of Security Architecture at Inrupt, Inc.

Our fireside chat with Schneier began with a discussion on the pros and cons of open vs. closed source code. For Schneier, “open source is a net positive” but there is a critical asterisk there for him. He explained:

“In security, what I want is for the code to be analyzed. I need smart people to look at the software, find the vulnerabilities and fix them.

There are two ways I can do that. I could be like Microsoft, closed source, and hire a bunch of experts to stare at the code, or I could be like Linux, open source, and rely on the community to do it.

Both of those work and both of those fail. Lots of software companies, most of them, are closed source but don’t hire anybody to look at the code. And most open source is open but nobody bothers to look at the code because it’s obscure, nobody cares, and there are a gazillion open source projects.

It’s not enough to open source, we need to incentivize people to look at the code. I would rather have an open source project than a closed source - there’s a better chance of getting a good outcome.”

Schneier also discussed the future of passwords and authentication. He offered as an example: when people don’t use a password manager, they often rely on the “forgot password” reset option to get into their accounts via their email. Which means, the security of your email is what is securing your other accounts, just like the security of the content on your phone is ensured by the security of your physical phone and your ability to get into it: “That’s why someone hacking your gmail account is so valuable. They can change all your other passwords.” And that is why the first priority after getting a password manager is to secure your email accounts.

While passwordless authentication is gaining traction and popularity as a concept, Schneier believes passwords are here to stay:

“There’s always going to be a need for that kind of authentication interface. So, no I don’t think passwords will disappear. We have more passwords than ever now. We all should use some kind of password manager.”

The 2021 Summit kicked off with two keynote addresses from leaders in the open source security industry.

Ian Tien, CEO of Mattermost, an open source developer collaboration platform across teams, tools, and clouds with 25K GitHub stars, 4K open source contributors, and 30K code contributors, focused his keynote address on three key lessons of open source security under the premise: “if it’s not open, it’s definitely not secure.”

He began by noting that “nothing useful can be secure” because “all useful systems have vulnerabilities” and while we can reduce these vulnerabilities, we can’t eliminate all of them. “Security is about making trade-offs” between usefulness, risk, and resources.

The second concept he covered was the perhaps unintuitive: “Get PWN3D (ethically),” which means, invite ethical security research via a Responsible Disclosure Policy - ask the community to identify your vulnerabilities, and then celebrate them for what they find, “communicate to your community that you are invested in their security.”

Part three is simple: do the right thing by vetting your dependencies and supporting your supply chain.

“The secret of open source and security done right: the more you give away, the more you keep.

Ultimately, security is about trust. When you create trust from your community, supply chain, end users, and customers - that’s the whole ball game of security.”

Join the Mattermost community here.

Watch the Mattermost keynote recording

Hanna Bozakov, head of marketing for the last seven years at Tutanota, the world’s first end-to-end encrypted mail service that encrypts the entire mailbox, emphasized in her keynote address:

“Security is based in transparency. We believe security is only possible with open source.”

When the code for a project is published on GitHub, everyone can see what is being done and see for themselves that there is no back door into the product. Open source does not require the same trust as a closed source product; the proof that projects like Tutanota are secure is in the code, which is visible for anyone to review. This openness naturally fosters community, and by making the code available for everyone to see, you invite feedback and suggestions from your users that expedites the improvement of the product:

“The community allows us to make Tutanota better faster. We receive regular improvement suggestions and pull requests from our users, which speeds up our development process.”

Join the Tutanota project here to work on a secure alternative to Google and Microsoft.

Watch the Tutanota keynote recording

The 2021 Summit also included two sessions led by users of open source security software who offered their insights into the benefits and uses of open source technology when it comes to security in their businesses.

Ed Horn, a Software Product Manager at Automated Logic, shared his insight from working under Carrier Global for well over a decade. In his presentation, he illustrates how his team chose open source partners for his company’s credential vault storage solution to scale building management.

Watch the recording

Shane Rodness, Systems Administrator at MaRS Discovery District, which supports Canada’s most promising startups, spoke about how organizations can leverage open source in the never-ending pursuit of more secure environments.

Watch the recording

The Open Source Security Summit 2021 concluded with an expert panel featuring Dr. Raphael Reischuk, head of cybersecurity and distinguished consultant at Zühlke, Dr. Sal Aurigemma, Associate Professor of Computer Information Systems at the University of Tulsa, and Lisa Plaggemier, the Interim-Executive Director of the National Cybersecurity Alliance.

The panelists began with advice for business leaders trying to improve security practices within their employee base and a discussion of how businesses can work with academic institutions and students to better instill security practices before students enter the workforce. Dr. Reischuk echoed the sentiments from the keynote address by Mattermost that organizations should proactively and ethically hack themselves before a security breach occurs. In Dr. Reischuk’s experience, this is one of the best exercises to create employee to C-suite level awareness within an organization so everyone can understand what and who is vulnerable. Once the weaknesses have been identified, you have a clear path of priorities moving forward. Lisa Plaggemier noted the importance of tone in the messages we send and conversations we have around cybersecurity:

“We use militaristic language like ‘attack’ and ‘threats,’ and the average person is going to have a fight-or-flight response to that, and that causes people to disengage. We should be talking about the peace of mind you get when you use a password manager, or the convenience and speed of using one, instead of talking about all the scary reasons why you should use one.”

The conversation flowed into how businesses can educate employees on security best practices and keep their workforce engaged. Dr. Reischuk offered insight into Switzerland’s digital privacy and security laws and how they affect the government and public sector.

Plaggemier spoke about the work the National Cybersecurity Alliance does every October during National Cybersecurity Awareness Month in partnership with the Cybersecurity and Infrastructure Security Agency (CISA). Her advice? Don’t feed people lunch, make them hungry. She encourages those in the cybersecurity space to cater advice to specific groups through engaging, consumer-grade content that makes people hungry to learn more. The security advice for a software developer, for example, is different from the security advice you would give your mom, or your children. The high-level cybersecurity messages from leaders in this industry need to reflect and serve those different needs.

The panel concluded with a discussion on how open source and security come together to help businesses. Dr. Aurigemma emphasized the importance of the community aspect of open source projects when it comes to education and career transitions. Open source tools come with a built-in support network of people working together to find solutions:

“Open source security tools have a huge place in preparing the future workforce, whether it be students or people transitioning from different career fields, to understand what it’s going to take to help secure the nation and the world moving forward.” - Dr. Aurigemma

“Open source is the fundamental prerequisite for getting security right.” - Dr. Reischuk

Watch the Security Expert Roundtable recording

The Open Source Security Summit is a forum to explore the intersection of open source and security. In 2020, our inaugural year, we chose to focus on credential management, which remains a critical first line of defense for individuals and companies to mitigate cyberattacks.

Watch the session recordings from the Open Source Security Summit 2020.

In 2021, we expanded to cover open source security more broadly, engaging a community of like-minded enthusiasts sharing their ideals and tactics to make open source security more well understood, and available to software developers and users.

Watch the session recordings from the Open Source Security Summit 2021.

See you at the Open Source Security Summit 2022!

Follow Bitwarden on Twitter to get notified about our future events.