Google annab oma märkimisväärse kaalu USA valitsuse juhitud poliitikaraamistikule, mille eesmärk on tugevdada avatud lähtekoodiga tarkvara turvalisust, kutsudes erasektorit üles algatust toetama.
Eelmisel kuul senatis tutvustatud avatud lähtekoodiga tarkvara kaitsmise seadus [PDF]
on kahepoolne seaduseelnõu, mis looks turvalisuse ja riskide maandamise kava föderaalvalitsuse avatud lähtekoodiga tarkvara kasutamiseks.
"Meil on hea meel näha, et USA valitsus rõhutab jätkuvalt avatud lähtekoodiga tarkvara turvalisuse tähtsust ja loodame, et nii avalikud kui ka eraorganisatsioonid järgivad nende eeskuju, et edendada ökosüsteemi paremat küberjulgeolekut laiemalt," märkis Royal Hansen. , Google'i usaldus- ja ohutusmeeskonna inseneri asepresident 27. oktoobri blogipostitus.
Avatud lähtekoodiga tarkvarakood, st vabalt saadaolevad ehitusplokid kõigi valdkondade rakenduste jaoks, on põhimõtteliselt mootor, mis juhib kaasaegset digitaalset ettevõtet. Aga pahatahtlik kübertegevus tarkvara tarneahela vastu on viimastel kvartalitel kurikuulsalt tõusnud, alates SolarWinds
et Log4Shell
Usaldusväärsetes avanevates pahatahtlike ja mürgitatud projektide ja pakettide külluses koodihoidlad nagu npm.
Hansen märkis, et "näiliselt lihtsatele küsimustele avatud lähtekoodiga tarneahela kohta on endiselt raske vastata", sealhulgas:
- Kas projekt sisaldab teadaolevaid turvaauke?
- Kas projekti hooldajad ja kogukond järgivad tarkvara arendamise ajal turvalisuse parimaid tavasid?
- Millised avatud lähtekoodiga sõltuvused on teatud tarkvara osad?
- Kui turvaline oli turustusahel?
Google on probleemiga aktiivselt tegelenud selliste algatuste kaudu nagu laiendades oma vigade hüvitamise jõupingutusi avatud lähtekoodiga. Tööstus on toetanud selliseid lähenemisviise nagu tarkvara materjaliarved (SBOM) ja automaatsed koodiülevaatused, mis aitavad haavatavad osad tabada enne, kui need maastikul liiga kaugele levivad. Google ja teised tehnoloogiahiiglased on samuti investeerinud miljoneid mittetulundusühingutesse ja tarkvara sihtasutustesse nagu Avatud lähtekoodiga turvalisuse sihtasutus avatud lähtekoodiga loojate toetamiseks. Poliitilise poole pealt on seda teinud USA valitsus omaks võtnud SBOM-id agentuuride jaoks, muu hulgas.
Uued föderaalsed õigusaktid, kui need vastu võetakse, soodustavad rohkem avaliku ja erasektori partnerlust ning toovad avaliku sektori veelgi sisukamal viisil lauale, arvab tehnikamees.
"Avatud lähtekoodiga tarkvara turvamine on jagatud vastutus ja me ootame jätkuvat koostööd selle kiireloomulise ja kriitilise probleemi lahendamisel," ütles Hansen.
