Google ha appena dato un notevole impulso al software open source con il lancio di team di sicurezza e supporto dedicati.
L'"Open Source Maintenance Crew" sarà un nuovo team di sviluppatori che lavorerà su questioni di sicurezza relative ai progetti open source, come la configurazione degli aggiornamenti.
L'annuncio è arrivato in occasione dell'Open Source Security Summit della Casa Bianca, in cui Google si è unito alla Open Source Security Foundation (OpenSSF) e alla Linux Foundation per discutere le questioni relative alla sicurezza open source.
Perché la mossa?
Nel dicembre 2021, il consigliere per la sicurezza nazionale della Casa Bianca Jake Sullivan ha inviato una lettera agli amministratori delegati delle aziende tecnologiche statunitensi dopo che è stata identificata la vulnerabilità Log4Shell nel popolare framework di registrazione Java open source Log4j di Apache.
Secondo un post sul blog di Microsoft, la vulnerabilità è stata utilizzata per installare malware, per criptomining, per aggiungere dispositivi alle botnet Mirai e Muhstik, per rilasciare beacon Cobalt Strike, per scansionare la divulgazione di informazioni o per movimenti laterali attraverso la rete interessata.
"Questo problema di proteggere il software open source non è solo una questione di denaro, ma per molti progetti open source critici riguarda la quantità di persone coinvolte e quanto tempo possono dedicare al lavoro", ha affermato l'ingegnere principale di Open Source Security presso Google, Abhishek Arya.
“Anche con maggiori finanziamenti, abbiamo bisogno della capacità di indirizzare quei soldi verso gli obiettivi giusti. Questo è un problema di persone oltre che di soldi”.
Ha aggiunto: "Per affrontare in modo significativo questa sfida, Google ha fornito risorse alla 'Squadra di manutenzione Open Source' con l'idea che un'entità come OpenSSF potesse amministrare il gruppo e fungere da sensale per progetti critici."
La mossa arriva mentre l’adozione dell’open source sta creando slancio e supporto all’interno della comunità IT, con casi d’uso come la collaborazione online che ne alimentano la popolarità.
La recente Rapporto sullo stato dell'open source 2022 , condotto da OpenLogic, ha intervistato 2,660 professionisti e le loro organizzazioni che utilizzano strumenti open source, rilevando che oltre un quarto (27%) ha dichiarato di non avere alcuna riserva su tali strumenti, mentre solo il 13.9% era preoccupato che non fossero sicuri e non testati.