Кампанія Google толькі што значна пашырыла праграмнае забеспячэнне з адкрытым зыходным кодам, запусціўшы спецыяльныя групы бяспекі і падтрымкі.
Новая каманда распрацоўшчыкаў будзе працаваць над праблемамі бяспекі, звязанымі з праектамі з адкрытым зыходным кодам, такімі як наладжванне абнаўленняў.
Аб'ява прагучала на саміце па бяспецы з адкрытым зыходным кодам у Белым доме, дзе Google далучыўся да Фонду бяспекі з адкрытым зыходным кодам (OpenSSF) і Фонду Linux для абмеркавання пытанняў бяспекі з адкрытым зыходным кодам.
Чаму рухацца?
Яшчэ ў снежні 2021 года дарадца Белага дома па нацыянальнай бяспецы Джэйк Саліван накіраваў ліст генеральным дырэктарам амерыканскіх тэхналагічных кампаній пасля таго, як была выяўленая ўразлівасць Log4Shell у папулярнай фреймворку вядзення часопісаў Java з адкрытым зыходным кодам Apache Log4j.
Уразлівасць выкарыстоўвалася для ўстаноўкі шкоднасных праграм, для майнинга крыптаматыкі, для дадання прылад у бот-сеткі Mirai і Muhstik, для выдалення маякоў Cobalt Strike, для сканавання на раскрыццё інфармацыі або для бакавога перамяшчэння па пашкоджанай сетцы, гаворыцца ў паведамленні ў блогу Microsoft.
Папулярны ў цяперашні час
«Праблема забеспячэння бяспекі праграмнага забеспячэння з адкрытым зыходным кодам звязана не толькі з грашыма, для многіх важных праектаў з адкрытым зыходным кодам гэта звязана з колькасцю людзей, якія ўдзельнічаюць і колькі часу яны могуць патраціць на працу», — сказаў галоўны інжынер па бяспецы з адкрытым зыходным кодам у Google, Абхішэк Ар'я.
«Нават пры большым фінансаванні нам патрэбны патэнцыял, каб накіраваць гэтыя грошы на правільныя мэты. Гэта праблема людзей, а таксама праблема грошай».
Ён дадаў: «Каб разумна вырашыць гэтую праблему, Google вылучыў рэсурсы «Экіпажа па тэхнічным абслугоўванні праграм з адкрытым зыходным кодам» з ідэяй, што такая арганізацыя, як OpenSSF, можа кіраваць групай і служыць у якасці партнёра для важных праектаў».
Гэты крок зроблены ў той час, калі прыняцце адкрытага зыходнага кода набірае імпульс і падтрымку ў ІТ-супольнасці, а такія варыянты выкарыстання, як онлайн-супрацоўніцтва, спрыяюць яго папулярнасці.
Нядаўняя Справаздача аб стане адкрытых зыходных кодаў за 2022 год , праведзены OpenLogic, апытаў 2,660 спецыялістаў і іх арганізацыі, якія выкарыстоўваюць інструменты з адкрытым зыходным кодам, выявіўшы, што больш за чвэрць (27%) заявілі, што ў іх няма ніякіх агаворак адносна такіх інструментаў, у той час як толькі 13.9% былі занепакоеныя тым, што яны неабароненыя і неправераныя.