A Google jelentős súlyt fektet az Egyesült Államok kormánya által javasolt politikai keretrendszer mögé, amelynek célja a nyílt forráskódú szoftverek biztonságának növelése, és a magánszektort a kezdeményezés támogatására ösztönzi.
A Szenátusban a múlt hónapban bevezetett nyílt forráskódú szoftverek védelméről szóló törvény [PDF]
egy kétpárti törvényjavaslat, amely biztonsági és kockázatcsökkentési tervet készítene a szövetségi kormány nyílt forráskódú szoftverhasználatára vonatkozóan.
"Örülünk, hogy az Egyesült Államok kormánya továbbra is hangsúlyozza a nyílt forráskódú szoftverek biztonságának fontosságát, és reméljük, hogy mind az állami, mind a magánszervezetek követik példájukat az ökoszisztéma kiberbiztonságának javítása érdekében" - mondta Royal Hansen. , a Google bizalmi és biztonsági csapatának mérnöki alelnöke Október 27-i blogbejegyzés.
A nyílt forráskódú szoftverkód, azaz a szabadon elérhető építőelemek minden kategóriás alkalmazáshoz alapvetően a modern digitális vállalkozás motorja. De rosszindulatú a szoftverellátási lánc elleni kibertevékenység hírhedten spirálozott az elmúlt néhány negyedévben SolarWinds
nak nek Log4Shell
rosszindulatú és megmérgezett projektek és csomagok bőségére, amelyek a megbízhatóban bukkannak fel kódtárak, mint például az npm.
Hansen megjegyezte, hogy „a nyílt forráskódú ellátási lánccal kapcsolatos egyszerűnek tűnő kérdésekre még mindig nehéz válaszolni”, többek között:
- Tartalmaz egy projekt ismert sebezhetőséget?
- A projekt karbantartói és közössége követi a legjobb biztonsági gyakorlatokat a szoftverfejlesztés során?
- Milyen nyílt forráskódú függőségek tartoznak egy adott szoftverhez?
- Mennyire volt biztonságos az elosztási ellátási lánc?
A Google aktívan dolgozik a problémán, olyan kezdeményezések révén, mint meghosszabbítja a hibajavítási erőfeszítéseit nyílt forráskódhoz. Az ipar olyan megközelítéseket szorgalmazott, mint szoftveres anyagjegyzékek (SBOM-ok) és automatizált kódellenőrzések, amelyek segítenek elkapni a sebezhető darabokat, mielőtt azok túl messzire terjednének a tájon. A Google és más technológiai óriáscégek is milliókat fektettek be olyan nonprofit szervezetekbe és szoftveralapítványokba, mint pl Nyílt Forráskódú Biztonsági Alapítvány a nyílt forráskódú alkotók támogatására. A politikai oldalon az Egyesült Államok kormánya igen felkarolta az SBOM-okat ügynökségek számára, többek között.
Az új szövetségi törvény, ha elfogadja, több köz- és magánszféra együttműködését fogja ösztönözni, és a közszférát még értelmesebb módon terítékre állítja a technológiai behemót szerint.
"A nyílt forráskódú szoftverek biztonságossá tétele megosztott felelősség, és örömmel várjuk a további együttműködést ezen a sürgető, kritikus probléma megoldásán" - mondta Hansen.
