تلقي شركة جوجل بثقلها الكبير وراء إطار السياسة المقترح بقيادة الحكومة الأمريكية والذي يهدف إلى تعزيز الأمن للبرمجيات مفتوحة المصدر، وحث القطاع الخاص على دعم المبادرة.
تم تقديم قانون تأمين البرمجيات مفتوحة المصدر إلى مجلس الشيوخ الشهر الماضي [PDF]
هو مشروع قانون مشترك بين الحزبين الجمهوري والديمقراطي من شأنه إنشاء مخطط أمني وتخفيف المخاطر لاستخدام الحكومة الفيدرالية للبرمجيات مفتوحة المصدر.
"يسعدنا أن نرى التركيز المستمر على أهمية أمن البرمجيات مفتوحة المصدر من جانب حكومة الولايات المتحدة، ونأمل أن تحذو المؤسسات العامة والخاصة حذوها لتعزيز الأمن السيبراني المحسن للنظام البيئي ككل،" أشار رويال هانسن. ، نائب الرئيس الهندسي لفريق الثقة والسلامة في Google، في 27 أكتوبر مشاركة مدونة.
إن الكود البرمجي مفتوح المصدر، أي اللبنات الأساسية المتاحة مجانًا للتطبيقات من جميع المجالات، هو في الأساس المحرك الذي يدفع المؤسسات الرقمية الحديثة. لكن خبيثة النشاط السيبراني ضد سلسلة توريد البرمجيات لقد تصاعدت بشكل سيئ السمعة في الأرباع القليلة الماضية, من سولارويندز
إلى Log4Shell
إلى وفرة من المشاريع والحزم الخبيثة والمسمومة التي ظهرت في Trust مستودعات التعليمات البرمجية مثل npm.
وأشار هانسن إلى أن "الأسئلة التي تبدو بسيطة حول سلسلة التوريد مفتوحة المصدر لا تزال صعبة الإجابة"، بما في ذلك:
- هل يحتوي المشروع على نقاط ضعف معروفة؟
- هل يتبع القائمون على المشروع والمجتمع أفضل الممارسات الأمنية أثناء تطوير البرمجيات؟
- ما هي التبعيات مفتوحة المصدر التي تشكل جزءًا من برنامج معين؟
- ما مدى أمان سلسلة توريد التوزيع؟
تعمل Google بنشاط على حل هذه المشكلة، من خلال مبادرات مثل توسيع جهودها في مجال مكافأة الأخطاء لفتح المصدر. وقد دافعت الصناعة عن أساليب مثل فواتير المواد البرمجية (SBOMs) ومراجعات التعليمات البرمجية الآلية للمساعدة في اكتشاف الأجزاء الضعيفة قبل أن تنتشر بعيدًا عبر المشهد الطبيعي. كما استثمرت Google وغيرها من عمالقة التكنولوجيا الملايين في المنظمات غير الربحية والمؤسسات البرمجية مثل مؤسسة الأمن مفتوحة المصدر لدعم المبدعين مفتوحة المصدر. وعلى الجانب السياسي، قامت حكومة الولايات المتحدة بذلك احتضنت SBOMs للوكالات، من بين التحركات الأخرى.
إن التشريع الفيدرالي الجديد، إذا تم إقراره، سيشجع المزيد من الشراكة بين القطاعين العام والخاص، ويجلب القطاع العام إلى الطاولة بطرق أكثر فائدة، وفقًا لشركة التكنولوجيا العملاقة.
وقال هانسن: "إن تأمين البرمجيات مفتوحة المصدر مسؤولية مشتركة، ونحن نتطلع إلى استمرار التعاون بشأن هذه المشكلة الملحة والحرجة".
