Firma Google właśnie znacznie wzmocniła oprogramowanie open source, uruchamiając dedykowane zespoły ds. bezpieczeństwa i wsparcia.
„The Open Source Maintenance Crew” to nowy zespół programistów, który będzie pracował nad kwestiami bezpieczeństwa związanymi z projektami open source, takimi jak konfigurowanie aktualizacji.
Ogłoszenie pojawiło się podczas szczytu White House Open Source Security Summit, na którym Google dołączył do Open Source Security Foundation (OpenSSF) i Linux Foundation w celu omówienia kwestii związanych z bezpieczeństwem open source.
Dlaczego ruch?
W grudniu 2021 r. doradca ds. bezpieczeństwa narodowego Białego Domu, Jake Sullivan, wysłał list do prezesów amerykańskich firm technologicznych po zidentyfikowaniu luki Log4Shell w popularnym oprogramowaniu Log4j do rejestrowania w języku open source firmy Apache.
Luka ta była wykorzystywana do instalowania złośliwego oprogramowania, wydobywania kryptowalut, dodawania urządzeń do botnetów Mirai i Muhstik, zrzucania beaconów Cobalt Strike, skanowania w poszukiwaniu ujawnionych informacji lub do ruchu bocznego w zaatakowanej sieci, zgodnie z wpisem na blogu Microsoft.
„Ten problem z zabezpieczeniem oprogramowania open source nie dotyczy tylko pieniędzy, w przypadku wielu krytycznych projektów open source dotyczy to liczby zaangażowanych osób i tego, ile czasu mogą poświęcić na pracę” – powiedział główny inżynier Open Source Security w Google, Abhishek Arya.
„Nawet przy większym finansowaniu potrzebujemy możliwości skierowania tych pieniędzy na właściwe cele. To jest problem ludzi, a także problem pieniędzy”.
Dodał: „Aby w znaczący sposób sprostać temu wyzwaniu, Google zasiliło ekipę »Open Source Maintenance Crew« z myślą, że podmiot taki jak OpenSSF może administrować grupą i służyć jako swatka w krytycznych projektach”.
Ten ruch następuje, gdy adopcja open source nabiera tempa i wsparcia w społeczności IT, a przypadki użycia, takie jak współpraca online, napędzają jego popularność.
Niedawna Raport o stanie otwartego oprogramowania z 2022 r. , przeprowadzone przez OpenLogic, ankietowane 2,660 profesjonalistów i ich organizacje korzystające z narzędzi open source, okazało się, że ponad jedna czwarta (27%) stwierdziła, że nie ma żadnych zastrzeżeń do takich narzędzi, podczas gdy tylko 13.9% obawia się, że są one niezabezpieczone i nietestowane.