Google har precis gett programvara med öppen källkod ett stort uppsving med lanseringen av dedikerade säkerhets- och supportteam.
"Open Source Maintenance Crew" kommer att vara ett nytt team av utvecklare som kommer att arbeta med säkerhetsfrågor relaterade till projekt med öppen källkod, som att konfigurera uppdateringar.
Tillkännagivandet kom vid Vita husets Open Source Security Summit, där Google gick med i Open Source Security Foundation (OpenSSF) och Linux Foundation för att diskutera frågor kring öppen källkodssäkerhet.
Varför flytten?
Tillbaka i december 2021 skickade Vita husets nationella säkerhetsrådgivare Jake Sullivan ett brev till VD:arna för amerikanska teknikföretag efter att Log4Shell-sårbarheten i Apaches populära open source java-loggningsramverk Log4j identifierats.
Sårbarheten användes för att installera skadlig programvara, för kryptominering, för att lägga till enheterna till Mirai- och Muhstik-botnäten, för att släppa Cobalt Strike-beacons, för att skanna efter informationsröjande eller för sidoförflyttning i det drabbade nätverket enligt ett blogginlägg från Microsoft.
"Det här problemet med att säkra programvara med öppen källkod handlar inte bara om pengar, för många kritiska projekt med öppen källkod handlar det om hur många människor som är inblandade och hur mycket tid de kan lägga på arbetet", säger chefsingenjör för Open Source Security på Google, Abhishek Arya.
"Även med mer finansiering behöver vi kapacitet för att rikta de pengarna till rätt mål. Det här är ett folkproblem såväl som ett pengarproblem.”
Han tillade: "För att på ett meningsfullt sätt ta itu med den här utmaningen anlitade Google 'Open Source Maintenance Crew' med idén att en enhet som OpenSSF skulle kunna administrera gruppen och fungera som matchmaker för kritiska projekt."
Flytten kommer när användningen av öppen källkod bygger upp fart och stöd inom IT-gemenskapen, med användningsfall som onlinesamarbete som underblåser dess popularitet.
den senaste tidens 2022 State of Open Source-rapport , utförd av OpenLogic, undersökte 2,660 27 yrkesverksamma och deras organisationer som använder verktyg med öppen källkod, och fann över en fjärdedel (13.9 %) sa att de inte hade några reservationer alls mot sådana verktyg, medan endast XNUMX % var oroliga över att de var osäkra och oprövade.