گوگل به تازگی با راه اندازی تیم های امنیتی و پشتیبانی اختصاصی، به نرم افزار منبع باز کمک کرده است.
"خدمه تعمیر و نگهداری منبع باز" تیم جدیدی از توسعه دهندگان خواهد بود که روی مسائل امنیتی مربوط به پروژه های منبع باز مانند پیکربندی به روز رسانی ها کار خواهند کرد.
این اعلامیه در اجلاس امنیت منبع باز کاخ سفید منتشر شد، جایی که گوگل به بنیاد امنیت منبع باز (OpenSSF) و بنیاد لینوکس پیوست تا در مورد مسائل مربوط به امنیت منبع باز بحث کند.
چرا حرکت؟
در دسامبر 2021، جیک سالیوان، مشاور امنیت ملی کاخ سفید، پس از شناسایی آسیبپذیری Log4Shell در چارچوب لاگ لاگ جاوای منبع باز آپاچی، Log4j، نامهای به مدیران عامل شرکتهای فناوری ایالات متحده ارسال کرد.
این آسیبپذیری برای نصب بدافزار، برای رمزنگاری، افزودن دستگاهها به باتنتهای Mirai و Muhstik، رها کردن چراغهای Cobalt Strike، اسکن برای افشای اطلاعات، یا حرکت جانبی در سراسر شبکه آسیبدیده بر اساس یک پست وبلاگی توسط مایکروسافت استفاده شد.
مهندس اصلی امنیت منبع باز در می گوید: «مشکل ایمن سازی نرم افزار منبع باز فقط به پول مربوط نمی شود، برای بسیاری از پروژه های متن باز حیاتی به میزان افراد درگیر و مدت زمانی است که می توانند برای کار صرف کنند. گوگل، آبیشک آریا.
«حتی با بودجه بیشتر، ما به ظرفیتی نیاز داریم تا آن پول را به سمت اهداف درست هدایت کنیم. این یک مشکل مردم و همچنین مشکل پول است.»
او افزود: «برای مقابله معنادار با این چالش، گوگل «خدمه تعمیر و نگهداری منبع باز» را با این ایده که نهادی مانند OpenSSF میتواند گروه را مدیریت کند و بهعنوان هماهنگکننده برای پروژههای حیاتی خدمت کند، به کار گرفت.
این حرکت در حالی صورت میگیرد که استفاده از منبع باز در حال ایجاد حرکت و پشتیبانی در جامعه فناوری اطلاعات است، و موارد استفاده مانند همکاری آنلاین به محبوبیت آن دامن میزند.
اخیر گزارش وضعیت منبع باز 2022 که توسط OpenLogic انجام شد، از 2,660 متخصص و سازمانهایشان که از ابزارهای منبع باز استفاده میکردند، نظرسنجی کرد، که بیش از یک چهارم (27٪) گفتند که هیچ رزروی در مورد چنین ابزارهایی ندارند، در حالی که فقط 13.9٪ نگران ناامن بودن و آزمایش نشده بودن آنها بودند.