Společnost Google právě poskytla softwaru s otevřeným zdrojovým kódem velkou podporu spuštěním specializovaných bezpečnostních a podpůrných týmů.
„Open Source Maintenance Crew“ bude nový tým vývojářů, který bude pracovat na bezpečnostních otázkách souvisejících s open source projekty, jako je konfigurace aktualizací.
Oznámení přišlo na White House Open Source Security Summit, kde se Google připojil k Open Source Security Foundation (OpenSSF) a Linux Foundation, aby diskutovali o otázkách týkajících se bezpečnosti open source.
Proč tah?
V prosinci 2021 poradce Bílého domu pro národní bezpečnost Jake Sullivan poslal dopis generálním ředitelům amerických technologických společností poté, co byla identifikována zranitelnost Log4Shell v populárním open source logovacím rámci java log4j společnosti Apache.
Tato zranitelnost byla použita k instalaci malwaru, kryptominaci, přidání zařízení do botnetů Mirai a Muhstik, k odhození majáků Cobalt Strike, ke skenování zpřístupnění informací nebo k bočnímu pohybu v postižené síti podle blogového příspěvku společnosti Microsoft.
„Tento problém zabezpečení softwaru s otevřeným zdrojovým kódem není jen o penězích, u mnoha kritických projektů s otevřeným zdrojovým kódem jde o množství zapojených lidí a o tom, kolik času mohou strávit prací,“ řekl hlavní inženýr Open Source Security ve společnosti Google, Abhishek Arya.
„I když máme více finančních prostředků, potřebujeme kapacitu, abychom tyto peníze nasměrovali na správné cíle. Je to problém lidí, stejně jako problém peněz."
Dodal: „Aby se smysluplně vypořádal s touto výzvou, společnost Google poskytla „Open Source Maintenance Crew“ myšlenku, že subjekt jako OpenSSF by mohl spravovat skupinu a sloužit jako dohazovač pro kritické projekty.“
Tento krok přichází v době, kdy přijetí open source buduje dynamiku a podporu v rámci IT komunity, přičemž jeho popularitu podporují případy použití, jako je online spolupráce.
Nedávné Zpráva o stavu open source za rok 2022 , vedený společností OpenLogic, provedl průzkum mezi 2,660 27 profesionály a jejich organizacemi, které používají nástroje s otevřeným zdrojovým kódem, a zjistil, že více než čtvrtina (13.9 %) uvedla, že k takovým nástrojům nemá vůbec žádné výhrady, zatímco pouze XNUMX % se obává, že jsou nezabezpečené a netestované.