Google только что дал серьезный импульс программному обеспечению с открытым исходным кодом, создав специальные группы безопасности и поддержки.
«Команда поддержки открытого исходного кода» — это новая команда разработчиков, которая будет работать над вопросами безопасности, связанными с проектами с открытым исходным кодом, такими как настройка обновлений.
Объявление было сделано на саммите по безопасности открытого исходного кода в Белом доме, где Google присоединился к Фонду безопасности открытого исходного кода (OpenSSF) и Linux Foundation для обсуждения вопросов, связанных с безопасностью открытого исходного кода.
Зачем двигаться?
Еще в декабре 2021 года советник Белого дома по национальной безопасности Джейк Салливан направил письмо руководителям американских технологических компаний после того, как была обнаружена уязвимость Log4Shell в популярной платформе ведения журналов Java с открытым исходным кодом Apache Log4j.
Согласно сообщению в блоге Microsoft, уязвимость использовалась для установки вредоносного ПО, для майнинга криптовалют, для добавления устройств в бот-сети Mirai и Muhstik, для сброса маяков Cobalt Strike, для сканирования на предмет раскрытия информации или для горизонтального перемещения по затронутой сети.
«Проблема защиты программного обеспечения с открытым исходным кодом связана не только с деньгами. Для многих важных проектов с открытым исходным кодом речь идет о количестве вовлеченных людей и о том, сколько времени они могут потратить на работу», — сказал главный инженер по безопасности с открытым исходным кодом в компании Гугл, Абхишек Арья.
«Даже при наличии большего финансирования нам нужен потенциал, чтобы направить эти деньги на правильные цели. Это проблема людей, а также проблема денег».
Он добавил: «Чтобы эффективно решить эту проблему, Google выделил «Команду по обслуживанию открытого исходного кода» с идеей, что такая организация, как OpenSSF, могла бы управлять группой и выступать в качестве помощника для критически важных проектов».
Этот шаг связан с тем, что внедрение открытого исходного кода набирает обороты и поддержку в ИТ-сообществе, а такие варианты использования, как онлайн-сотрудничество, способствуют его популярности.
Недавняя Отчет о состоянии открытого исходного кода за 2022 г. Исследование, проведенное OpenLogic, опросило 2,660 специалистов и их организаций, использующих инструменты с открытым исходным кодом, и обнаружило, что более четверти (27%) заявили, что у них нет никаких сомнений в отношении таких инструментов, и только 13.9% были обеспокоены их незащищенностью и непроверенностью.