Google har nettopp gitt åpen kildekode-programvare et stort løft med lanseringen av dedikerte sikkerhets- og støtteteam.
"Open Source Maintenance Crew" vil være et nytt team av utviklere som vil jobbe med sikkerhetsproblemer knyttet til åpen kildekode-prosjekter, for eksempel konfigurering av oppdateringer.
Kunngjøringen kom på White House Open Source Security Summit, der Google sluttet seg til Open Source Security Foundation (OpenSSF) og Linux Foundation for å diskutere spørsmål rundt åpen kildekode-sikkerhet.
Hvorfor flytte?
Tilbake i desember 2021 sendte nasjonale sikkerhetsrådgiver i Det hvite hus, Jake Sullivan, et brev til administrerende direktører i amerikanske teknologiselskaper etter at Log4Shell-sårbarheten i Apaches populære åpen kildekode-java-logging-rammeverk Log4j ble identifisert.
Sårbarheten ble brukt til å installere skadelig programvare, for kryptominering, for å legge enhetene til Mirai- og Muhstik-botnettene, for å slippe Cobalt Strike-beacons, for å skanne etter informasjonsavsløring eller for sideveis bevegelse gjennom det berørte nettverket ifølge et blogginnlegg fra Microsoft.
"Dette problemet med å sikre åpen kildekode-programvare handler ikke bare om penger, for mange kritiske åpen kildekode-prosjekter handler det om mengden mennesker som er involvert og hvor mye tid de kan bruke på arbeidet," sa Principal Engineer of Open Source Security ved Google, Abhishek Arya.
"Selv med mer finansiering trenger vi kapasitet til å styre pengene til de riktige målene. Dette er et menneskeproblem så vel som et pengeproblem.»
Han la til: "For å løse denne utfordringen på en meningsfull måte, skaffet Google ressurser til 'Open Source Maintenance Crew' med ideen om at en enhet som OpenSSF kunne administrere gruppen og tjene som matchmaker for kritiske prosjekter."
Flyttingen kommer ettersom bruk av åpen kildekode bygger momentum og støtte i IT-fellesskapet, med brukstilfeller som nettbasert samarbeid som gir næring til populariteten.
den nylige 2022 State of Open Source-rapport , utført av OpenLogic, undersøkte 2,660 fagfolk og deres organisasjoner som bruker åpen kildekode-verktøy, og fant over en fjerdedel (27%) at de ikke hadde noen reservasjoner i det hele tatt med slike verktøy, mens bare 13.9% var bekymret for at de var usikrede og uprøvde.