Spoločnosť Google práve výrazne podporila softvér s otvoreným zdrojovým kódom spustením špeciálnych bezpečnostných a podporných tímov.
"Open Source Maintenance Crew" bude nový tím vývojárov, ktorí budú pracovať na bezpečnostných otázkach súvisiacich s open source projektmi, ako je konfigurácia aktualizácií.
Oznámenie prišlo na Summite o bezpečnosti otvorených zdrojov v Bielom dome, kde sa Google pripojil k Open Source Security Foundation (OpenSSF) a Linux Foundation, aby prediskutovali problémy súvisiace s bezpečnosťou open source.
Prečo ťah?
V decembri 2021 poradca Bieleho domu pre národnú bezpečnosť Jake Sullivan poslal list generálnym riaditeľom amerických technologických spoločností po tom, čo bola identifikovaná zraniteľnosť Log4Shell v populárnom protokole Java Log4j s otvoreným zdrojom Apache.
Zraniteľnosť sa použila na inštaláciu malvéru, na kryptomináciu, na pridanie zariadení do botnetov Mirai a Muhstik, na vypustenie majákov Cobalt Strike, na skenovanie sprístupnenia informácií alebo na laterálny pohyb v rámci postihnutej siete podľa blogového príspevku spoločnosti Microsoft.
„Tento problém zabezpečenia softvéru s otvoreným zdrojovým kódom nie je len o peniazoch, v prípade mnohých kritických projektov s otvoreným zdrojovým kódom je to o počte ľudí, ktorí sa na ňom podieľajú, a o tom, koľko času môžu venovať práci,“ povedal hlavný inžinier Open Source Security Google, Abhishek Arya.
„Aj keď máme viac financií, potrebujeme kapacitu na to, aby sme tieto peniaze nasmerovali na správne ciele. Je to problém ľudí, rovnako ako problém peňazí."
Dodal: „Na zmysluplné riešenie tejto výzvy spoločnosť Google poskytla „Open Source Maintenance Crew“ myšlienkou, že subjekt ako OpenSSF by mohol spravovať skupinu a slúžiť ako poradca pre kritické projekty.“
Tento krok prichádza v čase, keď adopcia open source buduje dynamiku a podporu v rámci IT komunity, pričom jeho popularitu podporujú prípady použitia, ako je online spolupráca.
Nedávne Správa o stave otvoreného zdroja za rok 2022 , realizovaný spoločnosťou OpenLogic, vykonal prieskum medzi 2,660 27 odborníkmi a ich organizáciami, ktoré používajú nástroje s otvoreným zdrojovým kódom, a zistil, že viac ako štvrtina (13.9 %) uviedla, že nemá voči takýmto nástrojom žiadne výhrady, zatiaľ čo iba XNUMX % sa obáva, že sú nezabezpečené a netestované.