A Google nemrégiben nagy lökést adott a nyílt forráskódú szoftvereknek, dedikált biztonsági és támogatási csapatok elindításával.
Az „Open Source Maintenance Crew” új fejlesztőcsapat lesz, amely a nyílt forráskódú projektekkel kapcsolatos biztonsági kérdéseken fog dolgozni, például a frissítések konfigurálásán.
A bejelentés a Fehér Ház nyílt forráskódú biztonsági csúcstalálkozóján érkezett, ahol a Google csatlakozott az Open Source Security Foundation-hez (OpenSSF) és a Linux Foundation-hez, hogy megvitassák a nyílt forráskódú biztonsággal kapcsolatos kérdéseket.
Miért a lépés?
Még 2021 decemberében a Fehér Ház nemzetbiztonsági tanácsadója, Jake Sullivan levelet küldött az amerikai technológiai vállalatok vezérigazgatóinak, miután azonosították az Apache népszerű, nyílt forráskódú java naplózási keretrendszerében, a Log4j-ben található Log4Shell sebezhetőséget.
A Microsoft blogbejegyzése szerint a sérülékenységet rosszindulatú programok telepítésére, kriptominálásra, az eszközök Mirai és Muhstik botnetekhez való hozzáadására, Cobalt Strike jelzőfények eldobására, információk közzétételére vagy oldalirányú mozgásra használták fel az érintett hálózaton.
„A nyílt forráskódú szoftverek biztonságának e problémája nem csak a pénzről szól, hanem sok kritikus nyílt forráskódú projektnél az érintettek számáról és arról, hogy mennyi időt tudnak a munkára fordítani” – mondta a nyílt forráskódú biztonságért felelős vezető mérnök. Google, Abhishek Arya.
„Még több finanszírozás mellett is kapacitásra van szükségünk ahhoz, hogy ezt a pénzt a megfelelő célokra irányítsuk. Ez emberek és pénzprobléma is."
Hozzátette: „A kihívás érdemi kezelése érdekében a Google a „Nyílt forráskódú karbantartó csapatot” azzal az ötlettel bízta meg, hogy egy olyan entitás, mint az OpenSSF felügyelhetné a csoportot, és partnerkeresőként szolgálhatna a kritikus projekteknél.”
A lépés azért történt, mert a nyílt forráskódú bevezetés lendületet és támogatást ad az IT-közösségen belül, és az olyan felhasználási esetek, mint az online együttműködés növeli a népszerűségét.
Az elmúlt 2022-es nyílt forráskódú jelentés Az OpenLogic által végzett felmérésben 2,660 nyílt forráskódú eszközöket használó szakembert és szervezetüket kérdeztek meg, és több mint egynegyedük (27%) mondta azt, hogy egyáltalán nincsenek fenntartásaik az ilyen eszközökkel kapcsolatban, míg csak 13.9%-uk aggódik amiatt, hogy nem biztonságosak és nem teszteltek.