Google обратился к правительству США с просьбой принять более активный подход к выявлению и защите инструментов кибербезопасности с открытым исходным кодом, которые необходимы для безопасности в Интернете.
фирмы Сообщение блога после саммита по уязвимости Log4j в Белом доме в четверг отметил, что стране необходимо государственно-частное партнерство для создания такой программы.
Кент Уокер, главный юрисконсульт Google и Alphabet, сказал: «Нам нужно государственно-частное партнерство, чтобы определить список критически важных проектов с открытым исходным кодом — с критичностью, определяемой на основе влияния и важности проекта — чтобы помочь расставить приоритеты и распределить ресурсы. для наиболее важных оценок и улучшений безопасности».
Google призывает правительство помочь для более безопасных проектов с открытым исходным кодом
В сообщении подчеркивается необходимость увеличения государственных и частных инвестиций для защиты среды с открытым исходным кодом, особенно когда программное обеспечение используется в инфраструктурных проектах. Частный сектор в целом управляет финансированием и оценкой этих инициатив.
«Код программного обеспечения с открытым исходным кодом доступен для общественности, его можно бесплатно использовать, модифицировать или проверять… Вот почему многие аспекты критической инфраструктуры и систем национальной безопасности включают его», — написал Уокер. «Но нет официального распределения ресурсов и мало формальных требований или стандартов для обеспечения безопасности этого критически важного кода. На самом деле, большая часть работы по поддержанию и повышению безопасности открытого исходного кода, включая исправление известных уязвимостей, выполняется на специальной добровольной основе».
После обнаружения серьезной уязвимости в Java-библиотеке Log4j, которая быстро стала самой серьезной уязвимостью кибербезопасности за последние годы, уже давно высказывались опасения по поводу нехватки финансовых и технических ресурсов для разработки с открытым исходным кодом. Библиотека Log4j также в основном разрабатывалась и поддерживалась добровольцами.
Google закрывает проект Museletter всего через три месяца после его запуска
Частные источники, такие как индивидуальные пожертвования или корпоративное спонсорство, отвечают за финансирование большинства проектов с открытым исходным кодом. Google внесла 1 миллион долларов в программу вознаграждений Secure Open Source (SOS) — пилотный проект, управляемый Linux Foundation для финансового вознаграждения разработчиков, работающих над усилением безопасности проектов с открытым исходным кодом.