Google poprosił rząd USA o bardziej proaktywne podejście do identyfikowania i ochrony narzędzi cyberbezpieczeństwa typu open source, które są niezbędne dla bezpieczeństwa internetu.
Firma post na blogu po czwartkowym szczycie Log4j, który odbył się w Białym Domu, zauważył, że kraj potrzebuje partnerstwa publiczno-prywatnego, aby ustanowić taki program.
Kent Walker, dyrektor prawny w Google i Alphabet, powiedział: „Potrzebujemy partnerstwa publiczno-prywatnego, aby zidentyfikować listę krytycznych projektów open source — z krytycznością określaną na podstawie wpływu i znaczenia projektu — aby pomóc w ustaleniu priorytetów i alokacji zasobów dla najważniejszych ocen i ulepszeń w zakresie bezpieczeństwa.”
Google apeluje o pomoc rządową w zakresie bezpieczniejszych projektów open source
W poście podkreślono konieczność większych inwestycji publicznych i prywatnych w celu ochrony środowiska open source, zwłaszcza gdy oprogramowanie jest wykorzystywane w projektach infrastrukturalnych. Sektor prywatny jako całość zarządza finansowaniem i oceną tych inicjatyw.
„Kod oprogramowania o otwartym kodzie źródłowym jest dostępny publicznie, za darmo dla każdego, kto może go używać, modyfikować lub sprawdzać… Właśnie dlatego zawiera go wiele aspektów infrastruktury krytycznej i systemów bezpieczeństwa narodowego” – napisał Walker. „Ale nie ma oficjalnej alokacji zasobów i niewiele formalnych wymagań lub standardów dotyczących utrzymania bezpieczeństwa tego krytycznego kodu. W rzeczywistości większość prac mających na celu utrzymanie i zwiększenie bezpieczeństwa oprogramowania open source, w tym naprawianie znanych luk w zabezpieczeniach, jest wykonywana ad hoc, na zasadzie wolontariatu”.
Po odkryciu poważnej luki w bibliotece Log4j Java, która szybko stała się najpoważniejszą luką w cyberbezpieczeństwie ostatnich lat, od dawna pojawiły się obawy dotyczące braku zasobów finansowych i technicznych na rozwój oprogramowania open source. Biblioteka Log4j była również rozwijana i utrzymywana głównie dzięki pracy wolontariuszy.
Google zamyka projekt Musetter już po trzech miesiącach od jego uruchomienia
Za większość finansowania projektów open source odpowiadają źródła prywatne, takie jak darowizny indywidualne lub sponsoring korporacyjny. Firma Google przekazała milion dolarów na program nagród Secure Open Source (SOS), pilotażowy projekt prowadzony przez Linux Foundation, aby finansowo nagradzać programistów pracujących nad wzmocnieniem bezpieczeństwa projektów open source.