גוגל מטילה את משקלה הניכר מאחורי מסגרת מדיניות מוצעת בראשות ממשלת ארה"ב שמטרתה לחזק את האבטחה עבור תוכנות קוד פתוח, וקוראת למגזר הפרטי לתמוך ביוזמה.
חוק אבטחת תוכנת קוד פתוח שהוצג בסנאט בחודש שעבר [PDF]
היא הצעת חוק דו-מפלגתית שתיצור תוכנית אבטחה והפחתת סיכונים לשימוש של הממשלה הפדרלית בתוכנת קוד פתוח.
"אנו שמחים לראות המשך דגש על החשיבות של אבטחת תוכנה בקוד פתוח מצד ממשלת ארה"ב, ואנו מקווים שארגונים ציבוריים ופרטיים כאחד ילכו בעקבותיהם כדי לקדם אבטחת סייבר משופרת עבור המערכת האקולוגית בכללותה", ציין רויאל הנסן. , סגן נשיא הנדסה של צוות האמון והבטיחות של Google, ב- an פוסט בבלוג ב-27 באוקטובר.
קוד תוכנת קוד פתוח, כלומר, אבני הבניין הזמינות בחופשיות עבור יישומים מכל הסוגים, הוא ביסודו המנוע שמניע ארגונים דיגיטליים מודרניים. אבל זדוני פעילות סייבר כנגד שרשרת אספקת התוכנה התגלגלה לשמצה ברבעונים האחרונים, מ השמש
ל Log4Shell
לשפע של פרויקטים וחבילות זדוניים ומורעלים שצצים באמין מאגרי קוד כמו npm.
הנסן ציין כי "עדיין קשה לענות על שאלות פשוטות לכאורה לגבי שרשרת האספקה בקוד פתוח", כולל:
- האם פרויקט מכיל נקודות תורפה ידועות?
- האם מנהלי הפרויקט והקהילה עוקבים אחר שיטות אבטחה מומלצות במהלך פיתוח תוכנה?
- אילו תלות בקוד פתוח הן חלק מתוכנית מסוימת?
- עד כמה הייתה שרשרת האספקה של ההפצה בטוחה?
גוגל עבדה באופן פעיל על הבעיה, באמצעות יוזמות כמו מרחיב את מאמצי השפעת הבאג לקוד פתוח. הענף דגל בגישות כמו רשימות תוכנה (SBOM) וסקירות קוד אוטומטיות כדי לעזור לתפוס חלקים פגיעים לפני שהם מתפשטים רחוק מדי על פני הנוף. גוגל וענקיות טכנולוגיה אחרות גם השקיעו מיליונים בארגונים ללא מטרות רווח ובקרנות תוכנה כמו קרן אבטחת קוד פתוח כדי לתמוך ביוצרי קוד פתוח. בצד המדיניות, יש לממשלת ארה"ב אימצו SBOMs עבור סוכנויות, בין שאר המהלכים.
החקיקה הפדרלית החדשה, אם תעבור, תעודד יותר שותפות ציבורית-פרטית, ותביא את המגזר הציבורי אל השולחן בדרכים משמעותיות עוד יותר, על פי הרמה הטכנולוגית.
"אבטחת תוכנת קוד פתוח היא אחריות משותפת, ואנו מצפים להמשך שיתוף הפעולה בבעיה הדחופה והקריטית הזו", אמר הנסן.
