Google tocmai a oferit software-ului open source un impuls major prin lansarea unor echipe dedicate de securitate și asistență.
„Open Source Maintenance Crew” va fi o nouă echipă de dezvoltatori care va lucra la problemele de securitate legate de proiectele open source, cum ar fi configurarea actualizărilor.
Anunțul a venit la Summit-ul de Securitate Open Source de la Casa Albă, unde Google s-a alăturat Open Source Security Foundation (OpenSSF) și Linux Foundation pentru a discuta problemele legate de securitatea open source.
De ce mișcarea?
În decembrie 2021, consilierul pentru securitate națională de la Casa Albă, Jake Sullivan, a trimis o scrisoare directorilor generali ai companiilor tehnologice din SUA, după ce a fost identificată vulnerabilitatea Log4Shell din cadrul popular de logare java open source al Apache, Log4j.
Vulnerabilitatea a fost folosită pentru a instala malware, pentru criptomining, pentru a adăuga dispozitive la rețelele botne Mirai și Muhstik, pentru a arunca balize Cobalt Strike, pentru a scana pentru dezvăluirea de informații sau pentru mișcare laterală în rețeaua afectată, conform unei postări pe blog a Microsoft.
„Această problemă a securizării software-ului cu sursă deschisă nu se referă doar la bani, pentru multe proiecte critice cu sursă deschisă este vorba despre cantitatea de oameni implicați și cât de mult timp pot petrece pentru lucru”, a spus inginer principal al securității cu sursă deschisă la Google, Abhishek Arya.
„Chiar și cu mai multe fonduri, avem nevoie de capacitatea de a direcționa acești bani către obiectivele potrivite. Aceasta este o problemă de oameni, precum și o problemă de bani.”
El a adăugat: „Pentru a aborda în mod semnificativ această provocare, Google a oferit resurse „Open Source Maintenance Crew” cu ideea că o entitate precum OpenSSF ar putea administra grupul și să servească drept intermediar pentru proiectele critice.”
Mișcarea vine pe măsură ce adoptarea open source își creează impuls și sprijin în comunitatea IT, cu cazuri de utilizare precum colaborarea online care alimentează popularitatea acesteia.
Recente Raportul 2022 privind starea surselor deschise , realizat de OpenLogic, a chestionat 2,660 de profesioniști și organizațiile lor care folosesc instrumente open source, constatând că peste un sfert (27%) au spus că nu au deloc rezerve cu privire la astfel de instrumente, în timp ce doar 13.9% au fost îngrijorați de faptul că acestea sunt nesecurizate și netestate.