Google kaster sin betydelige vægt bag en foreslået amerikansk regeringsledet politikramme, der sigter mod at styrke sikkerheden for open source-software, og opfordrer den private sektor til at støtte initiativet.
Securing Open Source Software Act blev indført i Senatet i sidste måned [PDF]
er et todelt lovforslag, der ville skabe en sikkerheds- og risikobegrænsende plan for den føderale regerings brug af open source-software.
"Vi er glade for at se en fortsat vægt på vigtigheden af open source-softwaresikkerhed fra den amerikanske regering, og vi håber, at både offentlige og private organisationer vil følge deres føring for at fremme forbedret cybersikkerhed for økosystemet som helhed," bemærkede Royal Hansen. , teknisk vicepræsident for Googles tillids- og sikkerhedsteam, i en 27. oktober blogindlæg.
Open source softwarekode, dvs. de frit tilgængelige byggeklodser til applikationer af alle striber, er grundlæggende den motor, der driver moderne digital virksomhed. Men ondsindet cyberaktivitet mod softwareforsyningskæden har berygtet spiral i de sidste par kvartaler, fra SolarWinds
til Log4Shell
til et overflødighedshorn af ondsindede og forgiftede projekter og pakker, der dukker op i betroede kodelagre som npm.
Hansen bemærkede, at "tilsyneladende simple spørgsmål om open source-forsyningskæden stadig er svære at besvare," herunder:
- Indeholder et projekt kendte sårbarheder?
- Følger projektets vedligeholdere og fællesskabet bedste praksis for sikkerhed under softwareudvikling?
- Hvilke open source-afhængigheder er en del af et bestemt stykke software?
- Hvor sikker var distributionsforsyningskæden?
Google har arbejdet aktivt på problemet, gennem tiltag som f.eks udvide sin bug-bounty indsats til open source. Industrien har forfægtet tilgange som softwarestyklister (SBOM'er) og automatiserede kodegennemgange for at hjælpe med at fange sårbare stykker, før de forplanter sig for langt over landskabet. Google og andre teknologigiganter har også investeret millioner i nonprofitorganisationer og softwarefonde som f.eks Open Source Security Foundation for at understøtte open source-skabere. På den politiske side har den amerikanske regering omfavnede SBOM'er for blandt andet bureauer.
Den nye føderale lovgivning vil, hvis den vedtages, tilskynde til mere offentlig-privat partnerskab og bringe den offentlige sektor til bordet på endnu mere meningsfulde måder, ifølge tech-behemoth.
"Sikring af open source-software er et fælles ansvar, og vi ser frem til fortsat samarbejde om dette presserende, kritiske problem," sagde Hansen.
