Google baru saja memberikan perangkat lunak open source dorongan besar dengan peluncuran tim keamanan dan dukungan khusus.
"Kru Pemeliharaan Sumber Terbuka" akan menjadi tim pengembang baru yang akan bekerja pada masalah keamanan yang terkait dengan proyek sumber terbuka, seperti mengonfigurasi pembaruan.
Pengumuman itu disampaikan di Gedung Putih Open Source Security Summit, di mana Google bergabung dengan Open Source Security Foundation (OpenSSF) dan Linux Foundation untuk membahas masalah seputar keamanan open source.
Kenapa pindah?
Kembali pada bulan Desember 2021, penasihat keamanan nasional Gedung Putih Jake Sullivan mengirim surat kepada CEO perusahaan teknologi AS setelah kerentanan Log4Shell dalam kerangka kerja logging java open source populer Apache, Log4j, diidentifikasi.
Kerentanan itu digunakan untuk menginstal malware, untuk cryptomining, untuk menambahkan perangkat ke botnet Mirai dan Muhstik, untuk menjatuhkan suar Cobalt Strike, untuk memindai pengungkapan informasi, atau untuk gerakan lateral di seluruh jaringan yang terpengaruh menurut posting blog oleh Microsoft.
“Masalah mengamankan perangkat lunak sumber terbuka ini bukan hanya tentang uang, untuk banyak proyek sumber terbuka yang kritis ini adalah tentang jumlah orang yang terlibat dan berapa banyak waktu yang dapat mereka habiskan untuk pekerjaan itu,” kata Insinyur Utama Keamanan Sumber Terbuka di Google, Abhishek Arya.
“Bahkan dengan lebih banyak dana, kami membutuhkan kapasitas untuk mengarahkan uang itu ke tujuan yang tepat. Ini adalah masalah orang dan juga masalah uang.”
Dia menambahkan: “Untuk mengatasi tantangan ini secara bermakna, Google menyediakan sumber daya 'Open Source Maintenance Crew' dengan gagasan bahwa entitas seperti OpenSSF dapat mengelola grup dan berfungsi sebagai mak comblang untuk proyek-proyek penting.”
Langkah ini dilakukan saat adopsi open source membangun momentum dan dukungan dalam komunitas TI, dengan kasus penggunaan seperti kolaborasi online yang mendorong popularitasnya.
Baru-baru ini Laporan Sumber Terbuka 2022 , yang dilakukan oleh OpenLogic, mensurvei 2,660 profesional dan organisasi mereka yang menggunakan alat sumber terbuka, menemukan lebih dari seperempat (27%) mengatakan mereka tidak keberatan sama sekali tentang alat tersebut, sementara hanya 13.9% yang khawatir alat tersebut tidak aman dan belum teruji.