Googleは、重要なオープンソースプロジェクトをより安全にするよう米国に要請しました

ホワイトハウスで開催された「オープンソースセキュリティサミット」の後、 グーグルは、 識別における政府と 重要なオープンソースソフトウェアプロジェクトの保護。

ケントウォーカーの出版物を通じて、 グローバルアフェアーズの社長兼Googleの最高法務責任者。 ブログ投稿で、より緊密なコラボレーションが必要であると述べました オープンソースソフトウェアのセキュリティのためのより多くの資金とリーダーシップを確保するために、民間部門と政府の間で。

「重要なオープンソースプロジェクトのリストを特定するために官民パートナーシップが必要です。重要度はプロジェクトの影響力と重要性に基づいて決定され、ウォーカーが書いた最も重要なセキュリティ評価と拡張のためのリソースの優先順位付けと割り当てを支援します。

長期的には、そのパートナーシップは、重要なプロジェクトとの統合方法に基づいて、システミックリスクをもたらす可能性のあるオープンソースソフトウェアを特定する新しい方法を考案し、安全を確保するために必要なセキュリティのレベルを予測できるようにする必要があります。 ウォーカーが追加されました。

でログイン また、政府と業界が協力してベンチマーク基準を設定することを望んでいます オープンソースソフトウェアのセキュリティ、メンテナンス、来歴、およびテストのため。

それは 国のインフラやその他の重要なシステムを確保するため これらのプロジェクトを信頼できます。 ウォーカー氏は、標準は頻繁な更新、継続的なテスト、および検証された整合性を強調する共同プロセスを通じて開発されるべきであると述べました。

最後に、ウォーカーrは、政府と民間部門の両方からより多くの資金を要求した。 彼は、多くの主要な企業や組織が、重要なインフラストラクチャのどれだけがオープンソースプロジェクトに基づいているかさえ知らないと指摘しました。

それを改善するために、 意識の向上とオープンソース保守の市場の創出を求めた それは、企業や組織からのボランティアを、支援を必要とする重要なプロジェクトと結びつけるでしょう。 ウォーカーは、グーグルがそのようなイニシアチブをサポートする準備ができていると約束した。

オープンソースソフトウェアのメンテナンスとセキュリティのためのリソースの不足は過去に提起された問題ですが、検出された最大のサイバーセキュリティの脆弱性の4つであるLog4j Javaライブラリに重大な欠陥が発見された後、今月再び浮上しました。近年では。 LogXNUMXjライブラリはオープンソースであり、ほとんどが無給労働によって開発および保守されています。

「オープンソースソフトウェアコードは一般に公開されており、誰でも無料で使用、変更、または検査できます」とWalker氏は書いています。 「そのため、重要なインフラストラクチャと国土安全保障システムの非常に多くの側面にそれが組み込まれています。 ただし、リソースの公式な割り当てはなく、重要なコードを安全に保つための正式な要件や標準はほとんどありません。 実際、既知の脆弱性の修正を含む、オープンソースのセキュリティを維持および改善するための作業のほとんどは、自主的なアドホックベースで行われます。」

オープンソースソフトウェアへのほとんどの資金は通常、寄付から来ています サポーターまたは彼に依存するテクノロジー企業のスポンサーからの個人。 たとえば、Googleは最近、主要プロジェクトのセキュリティを向上させる開発者に金銭的補償を提供することを目的としたLinuxFoundationのセキュアオープンソースバウンティプログラムに100億ドルを投じました。

彼の側では、彼はIBMCorpのRedHatユニットへ。、その幹部がホワイトハウス国家安全保障会議に出席した、 彼は、あらゆる種類のソフトウェアのセキュリティを改善するための政府の取り組みを支持すると述べた。

「会議の重要なテーマは、オープンソースソフトウェアが技術革新のペースを加速し、多大な社会的および経済的利益をもたらし、信頼とサイバーセキュリティの向上に大いに役立つ可能性があるという認識でした」とRedHatは述べています。

「私たちは、次のステップで政権と幅広い利害関係者と協力することを楽しみにしており、お客様のサポートとオープンソースエコシステムの強化に引き続き注力していきます。」

最後に あなたがそれについてもっと知りたいのなら、 あなたはで詳細を確認することができます 次のリンク。