Google heeft zojuist open source-software een grote impuls gegeven met de lancering van speciale beveiligings- en ondersteuningsteams.
De “Open Source Maintenance Crew” zal als nieuw team van ontwikkelaars gaan werken aan beveiligingsvraagstukken gerelateerd aan open source projecten, zoals het configureren van updates.
De aankondiging kwam op de Open Source Security Summit van het Witte Huis, waar Google zich aansloot bij de Open Source Security Foundation (OpenSSF) en de Linux Foundation om kwesties rond open source-beveiliging te bespreken.
Waarom de verhuizing?
In december 2021 stuurde de nationale veiligheidsadviseur van het Witte Huis, Jake Sullivan, een brief naar de CEO's van Amerikaanse technologiebedrijven nadat de Log4Shell-kwetsbaarheid in Apache's populaire open source java-loggingframework Log4j was geïdentificeerd.
De kwetsbaarheid werd gebruikt om malware te installeren, voor cryptomining, om de apparaten toe te voegen aan de Mirai- en Muhstik-botnets, om Cobalt Strike-bakens te laten vallen, om te scannen op openbaarmaking van informatie of om zijwaartse bewegingen door het getroffen netwerk te maken, aldus een blogpost van Microsoft.
“Dit probleem van het beveiligen van open-sourcesoftware gaat niet alleen over geld; voor veel cruciale open-sourceprojecten gaat het over de hoeveelheid mensen die erbij betrokken zijn en hoeveel tijd ze aan het werk kunnen besteden”, zegt Principal Engineer van Open Source Security bij Google, Abishek Arya.
“Zelfs met meer financiering hebben we capaciteit nodig om dat geld naar de juiste doelen te sturen. Dit is zowel een mensenprobleem als een geldprobleem.”
Hij voegde eraan toe: “Om deze uitdaging zinvol aan te pakken, heeft Google de ‘Open Source Maintenance Crew’ ingezet met het idee dat een entiteit als OpenSSF de groep zou kunnen beheren en als matchmaker voor cruciale projecten zou kunnen dienen.”
Deze stap komt omdat de acceptatie van open source momentum en ondersteuning binnen de IT-gemeenschap opbouwt, waarbij gebruiksscenario's zoals online samenwerking de populariteit ervan vergroten.
De recente 2022 State of Open Source-rapport , uitgevoerd door OpenLogic, ondervroeg 2,660 professionals en hun organisaties die open source-tools gebruiken. Ruim een kwart (27%) zei helemaal geen bedenkingen te hebben bij dergelijke tools, terwijl slechts 13.9% zich zorgen maakte over het feit dat ze onbeveiligd en niet getest zouden zijn.