Google-მა ახლახანს მისცა ღია კოდის პროგრამული უზრუნველყოფის ძირითადი სტიმული უსაფრთხოებისა და მხარდაჭერის სპეციალური გუნდების გაშვებით.
„ღია კოდის მოვლის ეკიპაჟი“ იქნება დეველოპერების ახალი გუნდი, რომელიც იმუშავებს უსაფრთხოების საკითხებზე ღია კოდის პროექტებთან, როგორიცაა განახლებების კონფიგურაცია.
განცხადება გაკეთდა თეთრი სახლის ღია წყაროს უსაფრთხოების სამიტზე, სადაც Google შეუერთდა ღია წყაროს უსაფრთხოების ფონდს (OpenSSF) და Linux Foundation-ს, რათა განეხილათ ღია კოდის უსაფრთხოების საკითხები.
რატომ გადადგა ნაბიჯი?
ჯერ კიდევ 2021 წლის დეკემბერში, თეთრი სახლის ეროვნული უსაფრთხოების მრჩეველმა ჯეიკ სალივანმა წერილი გაუგზავნა აშშ-ს ტექნიკური კომპანიების აღმასრულებელ დირექტორებს, მას შემდეგ რაც გამოვლინდა Log4Shell დაუცველობა Apache-ს პოპულარულ ღია კოდის ჯავა ლოგინგ ჩარჩოში Log4j.
დაუცველობა გამოიყენებოდა მავნე პროგრამების დასაყენებლად, კრიპტომაინინგისთვის, მოწყობილობების დასამატებლად Mirai და Muhstik ბოტნეტებში, Cobalt Strike შუქურების ჩამოსაშლელად, ინფორმაციის გამჟღავნების სკანირებისთვის ან გვერდითი გადაადგილებისთვის დაზარალებულ ქსელში, Microsoft-ის ბლოგის პოსტის მიხედვით.
„ღია კოდის პროგრამული უზრუნველყოფის უსაფრთხოების ეს პრობლემა არ არის მხოლოდ ფულთან დაკავშირებული, ბევრი კრიტიკული ღია კოდის პროექტებისთვის ეს ეხება ჩართული ადამიანების რაოდენობას და რამდენი დრო დახარჯონ მათ სამუშაოზე“, - თქვა ღია წყაროს უსაფრთხოების მთავარმა ინჟინერმა. გუგლი, აბჰიშეკ არია.
„მეტი დაფინანსების შემთხვევაშიც კი, ჩვენ გვჭირდება შესაძლებლობა, რომ ეს თანხა სწორი მიზნებისკენ მივმართოთ. ეს არის როგორც ხალხის პრობლემა, ასევე ფულის პრობლემა. ”
მან დაამატა: „ამ გამოწვევის მნიშვნელოვნად გადასაჭრელად Google-მა „ღია წყაროს მოვლის ეკიპაჟს“ მოახმარა იმ იდეით, რომ ერთეულს, როგორიცაა OpenSSF, შეეძლო ჯგუფის ადმინისტრირება და კრიტიკული პროექტების შემქმნელის როლი.
ეს ნაბიჯი ხდება მას შემდეგ, რაც ღია კოდის მიღება აძლიერებს იმპულსს და მხარდაჭერას IT საზოგადოებაში, გამოყენების შემთხვევები, როგორიცაა ონლაინ თანამშრომლობა, ზრდის მის პოპულარობას.
ბოლო დროს 2022 წლის ანგარიში ღია წყაროს შესახებ OpenLogic-ის მიერ ჩატარებულმა გამოკითხვამ 2,660 პროფესიონალი და მათი ორგანიზაციები, რომლებიც იყენებენ ღია კოდის ინსტრუმენტებს, აღმოაჩინა, რომ მეოთხედზე მეტი (27%) ამბობს, რომ მათ საერთოდ არ აქვთ დათქმები ამ ინსტრუმენტებთან დაკავშირებით, ხოლო მხოლოდ 13.9%-ს აწუხებს მათი დაუცველობა და ტესტირება.