Google werpt zijn aanzienlijke gewicht achter een voorgesteld door de Amerikaanse overheid geleid beleidskader dat gericht is op het versterken van de beveiliging van open source software, en dringt er bij de particuliere sector op aan om het initiatief te steunen.
De Securing Open Source Software Act is vorige maand in de Senaat geïntroduceerd [PDF]
is een tweeledig wetsvoorstel dat een blauwdruk voor beveiliging en risicobeperking zou creëren voor het gebruik van open source software door de federale overheid.
“We zijn blij om te zien dat de Amerikaanse overheid voortdurend de nadruk legt op het belang van open-sourcesoftwarebeveiliging, en we hopen dat zowel publieke als private organisaties hun voorbeeld zullen volgen om verbeterde cyberbeveiliging voor het ecosysteem als geheel te bevorderen”, aldus Royal Hansen. , technisch vice-president van het vertrouwens- en veiligheidsteam van Google, in een Blogpost van 27 oktober.
Open source softwarecode, d.w.z. de vrij beschikbare bouwstenen voor allerhande toepassingen, is in wezen de motor die moderne digitale ondernemingen aandrijft. Maar kwaadaardig cyberactiviteiten tegen de softwaretoeleveringsketen is de afgelopen kwartalen berucht geworden, van SolarWinds
naar Log4Shell
tot een overvloed aan kwaadaardige en vergiftigde projecten en pakketten die opduiken in Trusted codeopslagplaatsen zoals npm.
Hansen merkte op dat “schijnbaar simpele vragen over de open-source supply chain nog steeds moeilijk te beantwoorden zijn”, waaronder:
- Bevat een project bekende kwetsbaarheden?
- Volgen de beheerders en de gemeenschap van het project best practices op het gebied van beveiliging tijdens de softwareontwikkeling?
- Welke open source-afhankelijkheden maken deel uit van een bepaald stuk software?
- Hoe veilig was de distributieketen?
Google heeft actief aan het probleem gewerkt, via initiatieven zoals het uitbreiden van zijn bug-bounty-inspanningen naar opensource. De industrie heeft benaderingen zoals verdedigd software stuklijsten (SBOM's) en geautomatiseerde codebeoordelingen om kwetsbare stukken te helpen opsporen voordat ze zich te ver door het landschap verspreiden. Google en andere technologiegiganten hebben ook miljoenen geïnvesteerd in non-profitorganisaties en softwarestichtingen zoals de Open Source Beveiligingsstichting om open source-makers te ondersteunen. Aan de beleidskant heeft de Amerikaanse regering dat wel gedaan SBOM’s omarmd voor onder meer agentschappen.
De nieuwe federale wetgeving zal, als deze wordt aangenomen, meer publiek-private samenwerking aanmoedigen en de publieke sector op nog betekenisvollere manieren aan tafel brengen, aldus de technologiegigant.
“Het beveiligen van open-sourcesoftware is een gedeelde verantwoordelijkheid, en we kijken uit naar verdere samenwerking bij dit urgente, kritieke probleem”, aldus Hansen.
