Η Google μόλις έδωσε σημαντική ώθηση στο λογισμικό ανοιχτού κώδικα με την κυκλοφορία ειδικών ομάδων ασφάλειας και υποστήριξης.
Το "Open Source Maintenance Crew" θα είναι η νέα ομάδα προγραμματιστών που θα εργάζονται σε θέματα ασφάλειας που σχετίζονται με έργα ανοιχτού κώδικα, όπως η διαμόρφωση ενημερώσεων.
Η ανακοίνωση έγινε στη Σύνοδο Ανοιχτού Κώδικα Ασφαλείας του Λευκού Οίκου, όπου η Google εντάχθηκε στο Ίδρυμα Ασφάλειας Ανοικτού Κώδικα (OpenSSF) και στο Ίδρυμα Linux για να συζητήσουν ζητήματα που αφορούν την ασφάλεια ανοιχτού κώδικα.
Γιατί η κίνηση;
Τον Δεκέμβριο του 2021, ο σύμβουλος εθνικής ασφάλειας του Λευκού Οίκου, Τζέικ Σάλιβαν, έστειλε επιστολή στους Διευθύνοντες Συμβούλους των αμερικανικών εταιρειών τεχνολογίας μετά τον εντοπισμό της ευπάθειας Log4Shell στο δημοφιλές πλαίσιο καταγραφής java ανοιχτού κώδικα του Apache, Log4j.
Η ευπάθεια χρησιμοποιήθηκε για την εγκατάσταση κακόβουλου λογισμικού, για εξόρυξη κρυπτογράφησης, για την προσθήκη συσκευών στα botnet Mirai και Muhstik, για την απόρριψη φάροι Cobalt Strike, για σάρωση για αποκάλυψη πληροφοριών ή για πλευρική κίνηση σε όλο το επηρεαζόμενο δίκτυο σύμφωνα με μια ανάρτηση ιστολογίου της Microsoft.
«Αυτό το πρόβλημα της διασφάλισης λογισμικού ανοιχτού κώδικα δεν αφορά μόνο τα χρήματα, για πολλά κρίσιμα έργα ανοιχτού κώδικα αφορά τον αριθμό των ατόμων που εμπλέκονται και τον χρόνο που μπορούν να αφιερώσουν στην εργασία τους», δήλωσε ο Κύριος Μηχανικός Ασφάλειας Ανοιχτού Κώδικα στο Google, Abhishek Arya.
«Ακόμη και με περισσότερη χρηματοδότηση, χρειαζόμαστε ικανότητα να κατευθύνουμε αυτά τα χρήματα στους σωστούς στόχους. Αυτό είναι ένα πρόβλημα των ανθρώπων καθώς και ένα πρόβλημα με τα χρήματα».
Και πρόσθεσε: «Για να αντιμετωπίσει ουσιαστικά αυτήν την πρόκληση, η Google τροφοδότησε το «Πλήρωμα Συντήρησης Ανοικτού Κώδικα» με την ιδέα ότι μια οντότητα όπως το OpenSSF θα μπορούσε να διαχειρίζεται την ομάδα και να χρησιμεύσει ως προξενητής για κρίσιμα έργα».
Η κίνηση έρχεται καθώς η υιοθέτηση ανοιχτού κώδικα δημιουργεί δυναμική και υποστήριξη στην κοινότητα της πληροφορικής, με περιπτώσεις χρήσης όπως η διαδικτυακή συνεργασία να τροφοδοτεί τη δημοτικότητά της.
Η πρόσφατη Έκθεση κατάστασης ανοιχτού κώδικα 2022 , που διεξήχθη από το OpenLogic, ερεύνησε 2,660 επαγγελματίες και τις οργανώσεις τους που χρησιμοποιούν εργαλεία ανοιχτού κώδικα, διαπιστώνοντας ότι πάνω από το ένα τέταρτο (27%) δήλωσε ότι δεν είχε καμία επιφύλαξη για τέτοια εργαλεία, ενώ μόνο το 13.9% ανησυχούσε για το ότι δεν είναι ασφαλή και δεν έχουν δοκιμαστεί.