O Google acaba de dar um grande impulso ao software de código aberto com o lançamento de equipes dedicadas de segurança e suporte.
A “Equipe de Manutenção de Código Aberto” será uma nova equipe de desenvolvedores que trabalhará em questões de segurança relacionadas a projetos de código aberto, como configuração de atualizações.
O anúncio foi feito na Cúpula de Segurança de Código Aberto da Casa Branca, onde o Google se juntou à Open Source Security Foundation (OpenSSF) e à Linux Foundation para discutir questões relacionadas à segurança de código aberto.
Por que o movimento?
Em dezembro de 2021, o conselheiro de segurança nacional da Casa Branca, Jake Sullivan, enviou uma carta aos CEOs de empresas de tecnologia dos EUA depois que a vulnerabilidade Log4Shell na popular estrutura de registro Java de código aberto Log4j do Apache foi identificada.
A vulnerabilidade foi usada para instalar malware, para criptomineração, para adicionar os dispositivos às botnets Mirai e Muhstik, para lançar beacons Cobalt Strike, para verificar a divulgação de informações ou para movimento lateral em toda a rede afetada, de acordo com uma postagem no blog da Microsoft.
“Este problema de proteger software de código aberto não é apenas uma questão de dinheiro; para muitos projetos críticos de código aberto, trata-se da quantidade de pessoas envolvidas e de quanto tempo elas podem gastar no trabalho”, disse o engenheiro principal de segurança de código aberto da Google, Abhishek Arya.
“Mesmo com mais financiamento, precisamos de capacidade para direcionar esse dinheiro para os objetivos certos. Este é um problema de pessoas e também de dinheiro.”
Ele acrescentou: “Para enfrentar esse desafio de forma significativa, o Google forneceu recursos à 'Equipe de Manutenção de Código Aberto' com a ideia de que uma entidade como a OpenSSF poderia administrar o grupo e servir como casamenteira para projetos críticos.”
A mudança ocorre no momento em que a adoção do código aberto está ganhando impulso e suporte na comunidade de TI, com casos de uso como a colaboração on-line alimentando sua popularidade.
A recente Relatório sobre o estado do código aberto de 2022 , conduzido pela OpenLogic, entrevistou 2,660 profissionais e suas organizações que usam ferramentas de código aberto, descobrindo que mais de um quarto (27%) disse não ter nenhuma reserva sobre essas ferramentas, enquanto apenas 13.9% estavam preocupados com o fato de elas não serem seguras e não serem testadas.