Binigyan lang ng Google ng malaking tulong ang open source software sa paglulunsad ng mga dedikadong security at support team.
Ang "Open Source Maintenance Crew" ay magiging bagong team ng mga developer na gagawa sa mga isyu sa seguridad na nauugnay sa mga open source na proyekto, gaya ng pag-configure ng mga update.
Dumating ang anunsyo sa White House Open Source Security Summit, kung saan sumali ang Google sa Open Source Security Foundation (OpenSSF) at sa Linux Foundation upang talakayin ang mga isyung nakapalibot sa open source na seguridad.
Bakit ang paglipat?
Noong Disyembre 2021, nagpadala ng liham ang tagapayo ng pambansang seguridad ng White House na si Jake Sullivan sa mga CEO ng mga tech na kumpanya sa US matapos matukoy ang kahinaan ng Log4Shell sa tanyag na open source na java logging framework na Log4j ng Apache.
Ang kahinaan ay ginamit upang mag-install ng malware, para sa cryptomining, upang idagdag ang mga device sa Mirai at Muhstik botnets, upang i-drop ang mga Cobalt Strike beacon, upang mag-scan para sa pagbubunyag ng impormasyon, o para sa lateral na paggalaw sa buong apektadong network ayon sa isang blog post ng Microsoft.
"Ang problemang ito ng pag-secure ng open-source na software ay hindi lamang tungkol sa pera, para sa maraming kritikal na open-source na proyekto ito ay tungkol sa dami ng mga taong kasangkot at kung gaano karaming oras ang maaari nilang gugulin sa trabaho," sabi ng Principal Engineer ng Open Source Security sa Google, Abhishek Arya.
"Kahit na may mas maraming pondo, kailangan namin ng kapasidad na idirekta ang pera sa tamang mga layunin. Problema ito ng mga tao pati na rin problema sa pera.”
Idinagdag niya: "Upang makabuluhang matugunan ang hamon na ito, ginamit ng Google ang 'Open Source Maintenance Crew' na may ideya na ang isang entity tulad ng OpenSSF ay maaaring mangasiwa sa grupo at magsilbi bilang isang matchmaker para sa mga kritikal na proyekto."
Ang paglipat ay dumating habang ang open source adoption ay bumubuo ng momentum at suporta sa loob ng komunidad ng IT, na may mga kaso ng paggamit tulad ng online na pakikipagtulungan na nagpapasigla sa katanyagan nito.
Ang mga kamakailan 2022 State of Open Source Report , na isinagawa ng OpenLogic, ay nagsurvey sa 2,660 na mga propesyonal at kanilang mga organisasyon na gumagamit ng mga open source na tool, sa paghahanap ng higit sa isang-kapat (27%) ay nagsabi na wala silang anumang reserbasyon tungkol sa mga naturang tool, habang 13.9% lamang ang nag-aalala tungkol sa mga ito na hindi secure at hindi pa nasubok.