„Google“ ką tik suteikė didelį postūmį atvirojo kodo programinei įrangai, pristatydama specialias saugos ir palaikymo komandas.
„Atvirojo kodo priežiūros komanda“ bus nauja kūrėjų komanda, kuri spręs su atvirojo kodo projektais susijusias saugumo problemas, tokias kaip naujinimų konfigūravimas.
Pranešimas buvo paskelbtas Baltųjų rūmų atvirojo kodo saugumo aukščiausiojo lygio susitikime, kur „Google“ prisijungė prie Atvirojo kodo saugos fondo (OpenSSF) ir Linux fondo, kad aptartų su atvirojo kodo saugumu susijusias problemas.
Kodėl judėti?
2021 m. gruodį Baltųjų rūmų patarėjas nacionalinio saugumo klausimais Jake'as Sullivanas išsiuntė laišką JAV technologijų įmonių vadovams po to, kai buvo nustatytas „Log4Shell“ pažeidžiamumas populiarioje „Apache“ atvirojo kodo „Java“ registravimo sistemoje Log4j.
Remiantis „Microsoft“ tinklaraščio įrašu, pažeidžiamumas buvo naudojamas diegti kenkėjiškas programas, šifruoti, prijungti įrenginius prie „Mirai“ ir „Muhstik“ botnetų, nuleisti „Cobalt Strike“ švyturius, nuskaityti, ar nėra atskleista informacija arba judant į šoną visame paveiktame tinkle.
„Ši atvirojo kodo programinės įrangos apsaugos problema susijusi ne tik su pinigais, bet ir su daugeliu svarbių atvirojo kodo projektų, susijusių su žmonių skaičiumi ir kiek laiko jie gali skirti darbui“, – sakė vyriausiasis atvirojo kodo saugos inžinierius. Google, Abhishek Arya.
„Net ir turint didesnį finansavimą, mums reikia gebėjimų nukreipti tuos pinigus tinkamiems tikslams. Tai ne tik žmonių, bet ir pinigų problema.
Jis pridūrė: „Siekdama prasmingai išspręsti šį iššūkį, „Google“ suteikė „Atvirojo kodo priežiūros komandai“ idėją, kad tokia įmonė kaip „OpenSSF“ galėtų administruoti grupę ir būti svarbių projektų piršlys.
Šis žingsnis įvyksta, nes atvirojo kodo diegimas skatina IT bendruomenę ir palaiko IT bendruomenę, o naudojimo atvejai, tokie kaip bendradarbiavimas internetu, skatina jo populiarumą.
neseniai 2022 m. atvirojo šaltinio būklės ataskaita „OpenLogic“ atlikta apklausa apklausė 2,660 27 profesionalų ir jų organizacijų, naudojančių atvirojo kodo įrankius. Daugiau nei ketvirtadalis (13.9 %) teigė neturintys jokių abejonių dėl tokių įrankių, o tik XNUMX % nerimauja dėl to, kad jie nėra apsaugoti ir nepatikrinti.