Google acaba de dar un gran impulso al software de código abierto con el lanzamiento de equipos de soporte y seguridad dedicados.
El "equipo de mantenimiento de código abierto" será un nuevo equipo de desarrolladores que trabajará en problemas de seguridad relacionados con proyectos de código abierto, como la configuración de actualizaciones.
El anuncio se produjo en la Cumbre de Seguridad de Código Abierto de la Casa Blanca, donde Google se unió a la Fundación de Seguridad de Código Abierto (OpenSSF) y la Fundación Linux para discutir temas relacionados con la seguridad de código abierto.
¿Por qué el movimiento?
En diciembre de 2021, el asesor de seguridad nacional de la Casa Blanca, Jake Sullivan, envió una carta a los directores ejecutivos de las empresas tecnológicas de EE. UU. después de que se identificara la vulnerabilidad Log4Shell en el popular marco de registro Java de código abierto de Apache, Log4j.
La vulnerabilidad se usó para instalar malware, criptominería, agregar los dispositivos a las botnets Mirai y Muhstik, colocar balizas Cobalt Strike, escanear en busca de divulgación de información o movimiento lateral a través de la red afectada, según una publicación de blog de Microsoft.
“Este problema de asegurar el software de código abierto no se trata solo de dinero, para muchos proyectos críticos de código abierto se trata de la cantidad de personas involucradas y cuánto tiempo pueden dedicar al trabajo”, dijo el ingeniero principal de seguridad de código abierto en Google, Abhishek Arya.
“Incluso con más fondos, necesitamos capacidad para dirigir ese dinero a los objetivos correctos. Este es un problema de personas, así como un problema de dinero”.
Agregó: "Para abordar este desafío de manera significativa, Google proporcionó recursos al 'Equipo de mantenimiento de código abierto' con la idea de que una entidad como OpenSSF podría administrar el grupo y servir como intermediario para proyectos críticos".
El movimiento se produce cuando la adopción del código abierto está ganando impulso y apoyo dentro de la comunidad de TI, con casos de uso como la colaboración en línea que alimentan su popularidad.
La reciente Informe sobre el estado del código abierto de 2022 , realizado por OpenLogic, encuestó a 2,660 profesionales y sus organizaciones que usan herramientas de código abierto y encontró que más de una cuarta parte (27 %) dijo que no tenía ninguna reserva sobre dichas herramientas, mientras que solo el 13.9 % estaba preocupado porque no estaban seguras ni probadas.