Google on juuri antanut avoimen lähdekoodin ohjelmistoille suuren sysäyksen lanseeraamalla erityiset tietoturva- ja tukitiimit.
"Open Source Maintenance Crew" on uusi kehittäjätiimi, joka työskentelee avoimen lähdekoodin projekteihin liittyvien tietoturvaongelmien parissa, kuten päivitysten määrittämisessä.
Ilmoitus tuli Valkoisen talon Open Source Security Summitissa, jossa Google liittyi Open Source Security Foundationiin (OpenSSF) ja Linux Foundationiin keskustellakseen avoimen lähdekoodin tietoturvaan liittyvistä ongelmista.
Miksi liikkua?
Joulukuussa 2021 Valkoisen talon kansallisen turvallisuuden neuvonantaja Jake Sullivan lähetti kirjeen yhdysvaltalaisten teknologiayritysten toimitusjohtajille sen jälkeen, kun Log4Shell-haavoittuvuus Apachen suositussa avoimen lähdekoodin Java-lokikehyksessä Log4j tunnistettiin.
Microsoftin blogikirjoituksen mukaan haavoittuvuutta käytettiin haittaohjelmien asentamiseen, kryptominointiin, laitteiden lisäämiseen Mirai- ja Muhstik-botnet-verkkoihin, Cobalt Strike -majakoiden pudottaminen, tietojen paljastumisen etsiminen tai sivusuunnassa tapahtuva liikkuminen haavoittuneessa verkossa.
"Tämä avoimen lähdekoodin ohjelmistojen turvaamiseen liittyvä ongelma ei ole vain rahasta, vaan monissa kriittisissä avoimen lähdekoodin projekteissa kyse on mukana olevien ihmisten määrästä ja siitä, kuinka paljon aikaa he voivat käyttää työhön", sanoi Open Source Securityn pääinsinööri Google, Abhishek Arya.
”Jopa lisärahoituksella tarvitsemme kykyä ohjata rahat oikeisiin tavoitteisiin. Tämä on ihmisten ongelma sekä rahaongelma."
Hän lisäsi: "Tämän haasteen mielekkääksi käsittelemiseksi Google antoi "Open Source Maintenance Crew" -joukolle resursseja ajatukseen, että OpenSSF:n kaltainen taho voisi hallinnoida ryhmää ja toimia kriittisten projektien matchmakerina."
Muutos johtuu siitä, että avoimen lähdekoodin käyttöönotto lisää vauhtia ja tukea IT-yhteisössä, ja käyttötapaukset, kuten verkkoyhteistyö, lisäävät sen suosiota.
Viime Vuoden 2022 avoimen lähdekoodin tilaraportti OpenLogicin suorittamassa kyselyssä 2,660 27 ammattilaista ja heidän organisaatiotaan, jotka käyttävät avoimen lähdekoodin työkaluja, havaitsivat, että yli neljäsosa (13.9 %) sanoi, ettei heillä ollut mitään varauksia tällaisiin työkaluihin, kun taas vain XNUMX % oli huolissaan niiden suojaamattomista ja testaamattomista.