구글은 오픈소스 소프트웨어에 대한 보안 강화를 목표로 제안된 미국 정부 주도의 정책 프레임워크에 상당한 비중을 두고 민간 부문의 이 계획 지원을 촉구하고 있습니다.
오픈소스 소프트웨어 보안법(Securing Open Source Software Act)이 지난달 상원에 제출됐다. [PDF]
연방 정부의 오픈 소스 소프트웨어 사용에 대한 보안 및 위험 완화 청사진을 작성하는 초당적 법안입니다.
Royal Hansen은 “미국 정부가 오픈 소스 소프트웨어 보안의 중요성을 지속적으로 강조하는 것을 보게 되어 기쁘게 생각하며, 공공 및 민간 조직 모두가 이를 따라 생태계 전반에 대한 사이버 보안 개선을 촉진할 수 있기를 바랍니다.”라고 말했습니다. , Google 신뢰 및 안전팀 엔지니어링 부사장 27월 XNUMX일 블로그 게시물.
오픈 소스 소프트웨어 코드, 즉 모든 유형의 애플리케이션을 위해 무료로 사용할 수 있는 빌딩 블록은 근본적으로 현대 디지털 기업을 추진하는 엔진입니다. 하지만 악의적인 소프트웨어 공급망에 대한 사이버 활동 지난 몇 분기 동안 악명 높게 상승했습니다. SolarWinds
에 Log4Shell
신뢰할 수 있는 사이트에 나타나는 악의적이고 중독된 프로젝트와 패키지의 풍요로움에 npm과 같은 코드 저장소.
Hansen은 다음을 포함하여 "오픈 소스 공급망에 관한 겉으로는 단순해 보이는 질문에는 여전히 대답하기 어렵다"고 언급했습니다.
- 프로젝트에 알려진 취약점이 포함되어 있습니까?
- 프로젝트의 유지관리자와 커뮤니티는 소프트웨어 개발 중에 보안 모범 사례를 따르고 있습니까?
- 특정 소프트웨어의 일부인 오픈 소스 종속성은 무엇입니까?
- 유통 공급망은 얼마나 안전했나요?
Google은 다음과 같은 계획을 통해 문제를 해결하기 위해 적극적으로 노력해 왔습니다. 버그 현상금 노력 확대 오픈소스로. 업계에서는 다음과 같은 접근 방식을 옹호해 왔습니다. 소프트웨어 자재 명세서(SBOM) 자동화된 코드 검토를 통해 취약한 부분이 너무 멀리 전파되기 전에 이를 포착할 수 있습니다. Google 및 기타 거대 기술 기업도 비영리 단체 및 소프트웨어 재단에 수백만 달러를 투자했습니다. 오픈 소스 보안 재단 오픈 소스 제작자를 지원합니다. 정책적인 측면에서는 미국 정부가 수용된 SBOM 다른 움직임 중에서도 대행사를 위해.
새로운 연방 법안이 통과되면 더 많은 공공-민간 파트너십을 장려하고 공공 부문을 훨씬 더 의미 있는 방식으로 논의할 수 있을 것이라고 거대 기술 기업이 밝혔습니다.
Hansen은 “오픈 소스 소프트웨어를 보호하는 것은 공동 책임이며 이 시급하고 중요한 문제에 대한 지속적인 협력을 기대합니다.”라고 말했습니다.
