Google har netop givet open source-software et stort løft med lanceringen af dedikerede sikkerheds- og supportteams.
"Open Source Maintenance Crew" vil være et nyt team af udviklere, der vil arbejde med sikkerhedsproblemer relateret til open source-projekter, såsom konfiguration af opdateringer.
Meddelelsen kom på Det Hvide Hus Open Source Security Summit, hvor Google sluttede sig til Open Source Security Foundation (OpenSSF) og Linux Foundation for at diskutere spørgsmål omkring open source-sikkerhed.
Hvorfor flytte?
Tilbage i december 2021 sendte Det Hvide Hus nationale sikkerhedsrådgiver Jake Sullivan et brev til administrerende direktører for amerikanske teknologivirksomheder, efter at Log4Shell-sårbarheden i Apaches populære open source java-logning-ramme Log4j blev identificeret.
Sårbarheden blev brugt til at installere malware, til kryptominering, til at tilføje enhederne til Mirai- og Muhstik-botnet, til at droppe Cobalt Strike-beacons, til at scanne for afsløring af oplysninger eller til sideværts bevægelse gennem det berørte netværk ifølge et blogindlæg fra Microsoft.
"Dette problem med at sikre open source-software handler ikke kun om penge, for mange kritiske open source-projekter handler det om mængden af involverede mennesker, og hvor meget tid de kan bruge på arbejdet," sagde Principal Engineer of Open Source Security hos Google, Abhishek Arya.
"Selv med flere midler har vi brug for kapacitet til at dirigere pengene til de rigtige mål. Dette er et problem for mennesker såvel som et pengeproblem."
Han tilføjede: "For at løse denne udfordring meningsfuldt, satte Google ressourcer til 'Open Source Maintenance Crew' med ideen om, at en enhed som OpenSSF kunne administrere gruppen og fungere som matchmaker for kritiske projekter."
Flytningen kommer, efterhånden som open source-adoption bygger momentum og support i it-samfundet, hvor brugssager som online-samarbejde fremmer dets popularitet.
Den nylige 2022 State of Open Source-rapport , udført af OpenLogic, undersøgte 2,660 fagfolk og deres organisationer, der bruger open source-værktøjer, og fandt, at over en fjerdedel (27%) sagde, at de overhovedet ikke havde nogen forbehold over for sådanne værktøjer, mens kun 13.9% var bekymrede over, at de var usikrede og ikke-testede.