Google legger sin betydelige vekt bak et foreslått amerikansk regjeringsledet politisk rammeverk som tar sikte på å styrke sikkerheten for åpen kildekode-programvare, og oppfordrer privat sektor til å støtte initiativet.
The Securing Open Source Software Act ble introdusert i Senatet forrige måned [PDF]
er et todelt lovforslag som vil skape en sikkerhets- og risikoreduserende plan for den føderale regjeringens bruk av åpen kildekode-programvare.
"Vi er glade for å se en fortsatt vektlegging av viktigheten av åpen kildekode-programvaresikkerhet fra den amerikanske regjeringen, og vi håper at både offentlige og private organisasjoner vil følge deres ledelse for å fremme forbedret cybersikkerhet for økosystemet generelt," bemerket Royal Hansen , teknisk visepresident for Googles tillits- og sikkerhetsteam, i en 27. oktober blogginnlegg.
Programvarekode med åpen kildekode, dvs. de fritt tilgjengelige byggeklossene for applikasjoner av alle slag, er grunnleggende motoren som driver moderne digital virksomhet. Men ondsinnet cyberaktivitet mot programvareforsyningskjeden har beryktet spiral de siste kvartalene, fra Solarwinds
til Log4Shell
til et overflødighetshorn av ondsinnede og forgiftede prosjekter og pakker som dukker opp i klarerte kodelagre som npm.
Hansen bemerket at "tilsynelatende enkle spørsmål om forsyningskjeden med åpen kildekode fortsatt er vanskelig å svare på," inkludert:
- Inneholder et prosjekt kjente sårbarheter?
- Følger prosjektets vedlikeholdere og fellesskap beste praksis for sikkerhet under programvareutvikling?
- Hvilke åpen kildekode-avhengigheter er en del av en bestemt programvare?
- Hvor sikker var distribusjonskjeden?
Google har jobbet aktivt med problemet, gjennom initiativer som utvide sin bug-bounty innsats til åpen kildekode. Industrien har forfektet tilnærminger som programvarelister (SBOM) og automatiserte kodegjennomganger for å hjelpe med å fange opp sårbare deler før de forplanter seg for langt over landskapet. Google og andre teknologigiganter har også investert millioner i ideelle organisasjoner og programvarestiftelser som Open Source Security Foundation for å støtte åpen kildekode-skapere. På den politiske siden har den amerikanske regjeringen omfavnet SBOM-er for byråer, blant annet trekk.
Den nye føderale lovgivningen, hvis den går igjennom, vil oppmuntre til mer offentlig-privat partnerskap, og bringe offentlig sektor til bordet på enda mer meningsfylte måter, ifølge teknologibedriften.
"Å sikre åpen kildekode-programvare er et delt ansvar, og vi ser frem til fortsatt samarbeid om dette presserende, kritiske problemet," sa Hansen.
