Google lägger sin avsevärda vikt bakom en föreslagen amerikansk regeringsledd policyram som syftar till att stärka säkerheten för programvara med öppen källkod, och uppmanar den privata sektorn att stödja initiativet.
Securing Open Source Software Act infördes i senaten förra månaden [PDF]
är ett tvådelat lagförslag som skulle skapa en säkerhets- och riskreducerande plan för den federala regeringens användning av programvara med öppen källkod.
"Vi är glada över att se en fortsatt betoning på vikten av öppen källkodssäkerhet från den amerikanska regeringen, och vi hoppas att både offentliga och privata organisationer kommer att följa deras ledning för att främja förbättrad cybersäkerhet för ekosystemet i stort", noterade Royal Hansen , teknisk vicepresident för Googles förtroende- och säkerhetsteam, i en 27 okt blogginlägg.
Programvarukod med öppen källkod, det vill säga de fritt tillgängliga byggstenarna för applikationer av alla slag, är i grunden motorn som driver moderna digitala företag. Men illvillig cyberaktivitet mot mjukvaruförsörjningskedjan har ökänt ökat i spiral under de senaste kvartalen, från Solarwinds
till Log4Shell
till ett ymnighetshorn av illvilliga och förgiftade projekt och paket som dyker upp i betrodda kodlager som npm.
Hansen noterade att "till synes enkla frågor om försörjningskedjan med öppen källkod fortfarande är svåra att besvara", inklusive:
- Innehåller ett projekt kända sårbarheter?
- Följer projektets underhållare och community bästa säkerhetspraxis under mjukvaruutveckling?
- Vilka beroenden av öppen källkod är en del av en viss mjukvara?
- Hur säker var distributionskedjan?
Google har aktivt arbetat med problemet, genom initiativ som utöka sina bug-bounty-insatser till öppen källkod. Branschen har förespråkat tillvägagångssätt som mjukvarulistor (SBOM) och automatiserade kodgranskningar för att hjälpa till att fånga sårbara bitar innan de sprider sig för långt över landskapet. Google och andra teknikjättar har också investerat miljoner i ideella organisationer och mjukvarustiftelser som Open Source Security Foundation för att stödja skapare av öppen källkod. På den politiska sidan har den amerikanska regeringen omfamnade SBOM för bland annat byråer.
Den nya federala lagstiftningen, om den går igenom, kommer att uppmuntra mer offentlig-privata partnerskap och föra den offentliga sektorn till bordet på ännu mer meningsfulla sätt, enligt tekniska giganten.
"Att säkra programvara med öppen källkod är ett delat ansvar, och vi ser fram emot fortsatt samarbete kring detta brådskande, kritiska problem," sa Hansen.
