A Fehér Házban szervezett „Nyílt forráskódú biztonságról szóló csúcstalálkozó” után, A Google nagyobb részvételt kért a kormány az azonosításban és kritikus nyílt forráskódú szoftverprojektek védelme.
Egy Kent Walker kiadványon keresztül a globális ügyekért felelős elnöke és a Google jogi igazgatója, aki blogbejegyzésében azt mondta, hogy szorosabb együttműködésre van szükség a magánszektor és a kormány között, hogy több finanszírozást és vezető szerepet biztosítsanak a nyílt forráskódú szoftverbiztonság terén.
„Köz- és magánszféra együttműködésére van szükségünk a kritikus nyílt forráskódú projektek listájának azonosításához, amelyek kritikusságát a projekt befolyása és jelentősége alapján határozzák meg, hogy segítsünk rangsorolni és erőforrásokat allokálni a legfontosabb biztonsági értékelésekhez és fejlesztésekhez, amelyet Walker írt.
Hosszabb távon ennek a partnerségnek új utakat kell kidolgoznia a rendszerszintű kockázatot jelentő nyílt forráskódú szoftverek azonosítására a kritikus projektekkel való integrációjuk alapján, hogy előre jelezhesse a biztonsága érdekében szükséges biztonsági szintet. – tette hozzá Walker.
Google azt is szeretné, ha a kormány és az iparágak összefognának a benchmark standardok meghatározásában nyílt forráskódú szoftverek biztonságára, karbantartására, eredetére és tesztelésére.
Azaz annak biztosítása, hogy a nemzeti infrastruktúra és más fontos rendszerek megbízhat ezekben a projektekben. Walker szerint a szabványokat olyan együttműködési folyamaton keresztül kell kidolgozni, amely a gyakori frissítésekre, a folyamatos tesztelésre és az ellenőrzött integritásra helyezi a hangsúlyt.
Végül Walkerr több támogatást kért mind a kormánytól, mind a magánszektortól. Kiemelte, hogy sok vezető cég és szervezet nem is tudja, hogy kritikus infrastruktúrájuk mekkora része nyílt forráskódú projektekre épül.
Ennek orvoslására, fokozott tudatosságra, valamint a nyílt forráskódú karbantartás piacának megteremtésére szólított fel amely egyesítené a vállalatok és szervezetek önkénteseit olyan kritikus projektekkel, amelyek támogatásra szorulnak. Walker megígérte, hogy a Google kész támogatni egy ilyen kezdeményezést.
A nyílt forráskódú szoftverek karbantartásához és biztonságához szükséges erőforrások hiánya már korábban is felmerült, de ebben a hónapban újra előkerült, miután a Log4j Java könyvtárban, az egyik legnagyobb kiberbiztonsági sebezhetőségben súlyos hibára derült fény. az elmúlt években. A Log4j könyvtár nyílt forráskódú, többnyire nem fizetett munkaerő által fejlesztett és karbantartott.
"A nyílt forráskódú szoftverkód a nyilvánosság számára elérhető, bárki számára ingyenesen használható, módosítható vagy ellenőrizhető" - írta Walker. „Ez az oka annak, hogy a kritikus infrastruktúra és a belbiztonsági rendszerek oly sok vonatkozása magában foglalja. De nincs hivatalos erőforrás-elosztás, és kevés formális követelmény vagy szabvány a kritikus kód biztonságának megőrzéséhez. Valójában a nyílt forráskódú rendszerek biztonságának fenntartására és javítására irányuló munka nagy része, beleértve az ismert sebezhetőségek kijavítását is, önkéntes, ad hoc alapon történik.”
A nyílt forráskódú szoftverek finanszírozásának nagy része általában adományokból származik magánszemélyek a támogatóktól vagy a tőle függő technológiai cégek szponzorációitól. A Google például a közelmúltban 100 millió dollárt áldozott a Linux Foundation Secure Open Source jutalomprogramjára, amelynek célja, hogy pénzügyi kompenzációt nyújtson a kulcsfontosságú projektek biztonságát javító fejlesztőknek.
A maga részéről őaz IBM Corp. Red Hat egységéhez., amelynek vezetői részt vettek a Fehér Ház Nemzetbiztonsági Tanácsának ülésén, Elmondta, hogy támogatja a kormány azon törekvéseit, hogy javítsák mindenféle szoftver biztonságát.
"A találkozó kulcsfontosságú témája annak felismerése volt, hogy a nyílt forráskódú szoftverek felgyorsították a technológiai innováció ütemét, óriási társadalmi és gazdasági előnyökkel járnak, és nagy utat járnak be a bizalom és a kiberbiztonság javítása felé" - mondta a Red Hat.
"Alig várjuk, hogy együtt dolgozhassunk az adminisztrációval és az érdekelt felek széles körével a következő lépésekben, és továbbra is ügyfeleink támogatására és a nyílt forráskódú ökoszisztéma megerősítésére fogunk összpontosítani."
Végül Ha érdekel, hogy többet tudjon meg róla, a részleteket a következő link.
Jó lett volna, ha a Google példát mutatott volna azzal, hogy bejelenti az egyik projekt szponzorálását, amelyről beszél.