Google щойно надав значний поштовх програмному забезпеченню з відкритим кодом, запустивши спеціальні групи безпеки та підтримки.
«Екіпаж з обслуговування відкритого коду» буде новою командою розробників, які працюватимуть над проблемами безпеки, пов’язаними з проектами з відкритим кодом, наприклад налаштуванням оновлень.
Про це було оголошено на саміті безпеки з відкритим кодом Білого дому, де Google приєднався до Open Source Security Foundation (OpenSSF) і Linux Foundation для обговорення питань безпеки з відкритим кодом.
Чому цей крок?
Ще в грудні 2021 року радник Білого дому з національної безпеки Джейк Салліван надіслав листа генеральним директорам технологічних компаній США після виявлення вразливості Log4Shell у популярному фреймворку журналювання Java з відкритим кодом Apache Log4j.
Уразливість використовувалася для встановлення зловмисного програмного забезпечення, для криптомайнінгу, для додавання пристроїв до ботнетів Mirai та Muhstik, для видалення маячків Cobalt Strike, для сканування на розкриття інформації або для бокового переміщення по всій ураженій мережі згідно з повідомленням у блозі Microsoft.
«Ця проблема захисту програмного забезпечення з відкритим вихідним кодом полягає не лише в грошах, для багатьох критичних проектів з відкритим кодом це стосується кількості залучених людей і часу, який вони можуть витратити на роботу», — сказав головний інженер безпеки з відкритим кодом у Google, Абхішек Арья.
«Навіть маючи більше фінансування, нам потрібна здатність спрямовувати ці гроші на правильні цілі. Це проблема людей, а також проблема грошей».
Він додав: «Щоб суттєво вирішити цю проблему, Google залучив «Екіпаж з обслуговування відкритого коду» з ідеєю, що така організація, як OpenSSF, може керувати групою та служити в якості партнера для критично важливих проектів».
Цей крок стався в той час, коли впровадження відкритого коду набирає обертів і підтримує ІТ-спільноту, а випадки використання, такі як онлайн-співпраця, сприяють його популярності.
Недавня Звіт про стан відкритого коду за 2022 рік , проведений OpenLogic, опитав 2,660 професіоналів та їхні організації, які використовують інструменти з відкритим кодом, виявивши, що понад чверть (27%) заявили, що вони взагалі не мають застережень щодо таких інструментів, тоді як лише 13.9% були стурбовані тим, що вони незахищені та неперевірені.