Google vừa mang đến cho phần mềm nguồn mở một sự thúc đẩy lớn với việc ra mắt các nhóm hỗ trợ và bảo mật chuyên trách.
“Nhóm bảo trì nguồn mở” sẽ là nhóm các nhà phát triển mới sẽ giải quyết các vấn đề bảo mật liên quan đến các dự án nguồn mở, chẳng hạn như định cấu hình các bản cập nhật.
Thông báo này được đưa ra tại Hội nghị thượng đỉnh về bảo mật nguồn mở của Nhà Trắng, nơi Google tham gia Tổ chức bảo mật nguồn mở (OpenSSF) và Quỹ Linux để thảo luận các vấn đề xung quanh bảo mật nguồn mở.
Tại sao phải di chuyển?
Trở lại tháng 2021 năm 4, cố vấn an ninh quốc gia Nhà Trắng Jake Sullivan đã gửi thư cho CEO của các công ty công nghệ Hoa Kỳ sau khi lỗ hổng Log4Shell trong khung ghi nhật ký java nguồn mở phổ biến của Apache LogXNUMXj được xác định.
Theo một bài đăng trên blog của Microsoft, lỗ hổng này được sử dụng để cài đặt phần mềm độc hại, khai thác tiền điện tử, thêm thiết bị vào mạng botnet Mirai và Muhstik, thả đèn hiệu Cobalt Strike, quét để tiết lộ thông tin hoặc để di chuyển ngang qua mạng bị ảnh hưởng.
“Vấn đề bảo mật phần mềm nguồn mở này không chỉ là vấn đề tiền bạc, đối với nhiều dự án nguồn mở quan trọng, nó còn liên quan đến số lượng người tham gia và lượng thời gian họ có thể dành cho công việc,” Kỹ sư trưởng về An ninh nguồn mở tại Google, Abhishek Arya.
“Ngay cả khi có nhiều nguồn tài trợ hơn, chúng tôi vẫn cần có khả năng hướng số tiền đó đến đúng mục tiêu. Đây là vấn đề về con người cũng như vấn đề về tiền bạc.”
Ông nói thêm: “Để giải quyết thách thức này một cách có ý nghĩa, Google đã cung cấp nguồn lực cho 'Đội bảo trì nguồn mở' với ý tưởng rằng một thực thể như OpenSSF có thể quản lý nhóm và đóng vai trò là người mai mối cho các dự án quan trọng.”
Động thái này diễn ra khi việc áp dụng nguồn mở đang tạo đà và hỗ trợ trong cộng đồng CNTT, với các trường hợp sử dụng như cộng tác trực tuyến đang thúc đẩy sự phổ biến của nó.
Gần đây Báo cáo trạng thái nguồn mở năm 2022 , do OpenLogic thực hiện, đã khảo sát 2,660 chuyên gia và tổ chức của họ sử dụng các công cụ nguồn mở, nhận thấy hơn một phần tư (27%) cho biết họ không có chút dè dặt nào về các công cụ đó, trong khi chỉ có 13.9% lo ngại về việc chúng không được bảo mật và chưa được kiểm tra.