Google vient de donner un coup de pouce majeur aux logiciels open source avec le lancement d'équipes dédiées à la sécurité et au support.
L'« Open Source Maintenance Crew » sera une nouvelle équipe de développeurs qui travaillera sur les problèmes de sécurité liés aux projets open source, tels que la configuration des mises à jour.
L'annonce a été faite lors du Sommet sur la sécurité open source de la Maison Blanche, où Google a rejoint l'Open Source Security Foundation (OpenSSF) et la Linux Foundation pour discuter des questions liées à la sécurité open source.
Pourquoi le déménagement?
En décembre 2021, le conseiller à la sécurité nationale de la Maison Blanche, Jake Sullivan, a envoyé une lettre aux PDG d'entreprises technologiques américaines après l'identification de la vulnérabilité Log4Shell dans le populaire cadre de journalisation Java open source d'Apache, Log4j.
La vulnérabilité a été utilisée pour installer des logiciels malveillants, pour le cryptomining, pour ajouter les appareils aux botnets Mirai et Muhstik, pour supprimer les balises Cobalt Strike, pour rechercher des informations divulguées ou pour des mouvements latéraux à travers le réseau affecté, selon un article de blog de Microsoft.
« Ce problème de sécurisation des logiciels open source n'est pas seulement une question d'argent ; pour de nombreux projets open source critiques, il s'agit du nombre de personnes impliquées et du temps qu'elles peuvent consacrer au travail », a déclaré l'ingénieur principal de la sécurité open source chez Google, Abhishek Arya.
« Même avec plus de financement, nous avons besoin de capacité à consacrer cet argent aux bons objectifs. C’est un problème de personnes ainsi qu’un problème d’argent.
Il a ajouté : « Pour relever ce défi de manière significative, Google a doté l'équipe de maintenance Open Source de l'idée qu'une entité telle qu'OpenSSF pourrait administrer le groupe et servir d'intermédiaire pour les projets critiques. »
Cette décision intervient alors que l'adoption de l'open source prend de l'ampleur et suscite un soutien au sein de la communauté informatique, avec des cas d'utilisation tels que la collaboration en ligne qui alimentent sa popularité.
La récente Rapport sur l'état de l'open source 2022 , menée par OpenLogic, a interrogé 2,660 27 professionnels et leurs organisations qui utilisent des outils open source, révélant que plus d'un quart (13.9 %) ont déclaré qu'ils n'avaient aucune réserve à l'égard de ces outils, tandis que seulement XNUMX % s'inquiétaient du fait qu'ils ne soient pas sécurisés et non testés.