Google sta dando il suo considerevole peso dietro una proposta di quadro politico guidato dal governo degli Stati Uniti volto a rafforzare la sicurezza per il software open source, sollecitando il settore privato a sostenere l'iniziativa.
Il Securing Open Source Software Act introdotto al Senato il mese scorso [PDF]
è un disegno di legge bipartisan che creerebbe un progetto di sicurezza e mitigazione del rischio per l'uso del software open source da parte del governo federale.
"Siamo lieti di vedere una continua enfasi sull'importanza della sicurezza del software open source da parte del governo degli Stati Uniti e speriamo che sia le organizzazioni pubbliche che quelle private seguano il loro esempio per promuovere una migliore sicurezza informatica per l'ecosistema in generale", ha osservato Royal Hansen , vicepresidente tecnico per il team di fiducia e sicurezza di Google, in an Post del blog del 27 ottobre.
Il codice software open source, ovvero i blocchi costitutivi liberamente disponibili per applicazioni di ogni genere, è fondamentalmente il motore che guida la moderna impresa digitale. Ma malizioso attività informatica contro la catena di fornitura del software è tristemente cresciuto negli ultimi trimestri, da SolarWinds
a Log4Shell
a una cornucopia di progetti e pacchetti dannosi e avvelenati che spuntano in trusted repository di codice come npm.
Hansen ha osservato che "a domande apparentemente semplici sulla catena di approvvigionamento open source è ancora difficile rispondere", tra cui:
- Un progetto contiene vulnerabilità note?
- I manutentori e la comunità del progetto stanno seguendo le migliori pratiche di sicurezza durante lo sviluppo del software?
- Quali dipendenze open source fanno parte di un particolare software?
- Quanto era sicura la catena di fornitura della distribuzione?
Google ha lavorato attivamente al problema, attraverso iniziative come estendendo i suoi sforzi di ricompensa dei bug all'open source. L'industria ha sostenuto approcci come distinte base software (SBOM) e revisioni automatizzate del codice per aiutare a catturare parti vulnerabili prima che si propaghino troppo lontano nel panorama. Google e altri giganti della tecnologia hanno anche investito milioni in organizzazioni senza scopo di lucro e fondazioni di software come il Fondazione per la sicurezza open source per supportare i creatori open source. Dal punto di vista politico, il governo degli Stati Uniti ha abbracciato SBOM per le agenzie, tra le altre mosse.
La nuova legislazione federale, se approvata, incoraggerà un maggiore partenariato pubblico-privato e porterà il settore pubblico al tavolo in modi ancora più significativi, secondo il colosso tecnologico.
"La protezione del software open source è una responsabilità condivisa e non vediamo l'ora di continuare a collaborare su questo problema urgente e critico", ha affermato Hansen.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
