Google กำลังทุ่มน้ำหนักอย่างมากให้กับกรอบนโยบายที่นำโดยรัฐบาลสหรัฐฯ ที่เสนอ โดยมีเป้าหมายเพื่อเพิ่มความปลอดภัยให้กับซอฟต์แวร์โอเพ่นซอร์ส โดยเรียกร้องให้ภาคเอกชนสนับสนุนความคิดริเริ่มนี้
พระราชบัญญัติซอฟต์แวร์โอเพนซอร์ซรักษาความปลอดภัยที่นำมาใช้ในวุฒิสภาเมื่อเดือนที่แล้ว [PDF]
เป็นร่างกฎหมายสองฝ่ายที่จะสร้างพิมพ์เขียวด้านความปลอดภัยและการลดความเสี่ยงสำหรับการใช้ซอฟต์แวร์โอเพ่นซอร์สของรัฐบาลกลาง
“เราดีใจที่ได้เห็นการให้ความสำคัญอย่างต่อเนื่องเกี่ยวกับความสำคัญของความปลอดภัยของซอฟต์แวร์โอเพ่นซอร์สจากรัฐบาลสหรัฐฯ และเราหวังว่าทั้งองค์กรภาครัฐและเอกชนจะปฏิบัติตามผู้นำในการส่งเสริมความปลอดภัยทางไซเบอร์ที่ดีขึ้นสำหรับระบบนิเวศโดยรวม” Royal Hansen กล่าว รองประธานฝ่ายวิศวกรรมของทีมความไว้วางใจและความปลอดภัยของ Google ใน โพสต์ในบล็อกวันที่ 27 ต.ค.
รหัสซอฟต์แวร์โอเพ่นซอร์ส กล่าวคือ โครงสร้างที่พร้อมใช้งานอย่างอิสระสำหรับแอปพลิเคชันทุกแถบ นั้นเป็นกลไกพื้นฐานที่ขับเคลื่อนองค์กรดิจิทัลสมัยใหม่ แต่ใจร้าย กิจกรรมทางไซเบอร์ต่อห่วงโซ่อุปทานซอฟต์แวร์ ได้เพิ่มขึ้นอย่างน่าอับอายในช่วงสองสามไตรมาสที่ผ่านมาจาก SolarWinds
ไปยัง Log4Shell
สู่ความอุดมสมบูรณ์ของโครงการและแพ็คเกจที่เป็นอันตรายและวางยาพิษที่ผุดขึ้นมาในความน่าเชื่อถือ ที่เก็บโค้ดเช่น npm.
Hansen ตั้งข้อสังเกตว่า “คำถามที่ดูเหมือนง่ายเกี่ยวกับห่วงโซ่อุปทานแบบโอเพ่นซอร์สยังคงตอบยาก” รวมถึง:
- โครงการมีช่องโหว่ที่ทราบหรือไม่?
- ผู้ดูแลโครงการและชุมชนปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยในระหว่างการพัฒนาซอฟต์แวร์หรือไม่
- การพึ่งพาโอเพ่นซอร์สใดบ้างที่เป็นส่วนหนึ่งของซอฟต์แวร์ชิ้นใดชิ้นหนึ่ง
- ห่วงโซ่อุปทานการจัดจำหน่ายมีความปลอดภัยแค่ไหน?
Google ได้ดำเนินการแก้ไขปัญหานี้อย่างแข็งขันผ่านโครงการริเริ่มต่างๆ เช่น ขยายความพยายามในการหาข้อผิดพลาด เพื่อเปิดแหล่งที่มา อุตสาหกรรมได้สนับสนุนแนวทางเช่น รายการวัสดุซอฟต์แวร์ (SBOM) และการตรวจสอบโค้ดอัตโนมัติเพื่อช่วยตรวจจับชิ้นส่วนที่มีช่องโหว่ก่อนที่จะแพร่กระจายไปทั่วแนวนอนมากเกินไป Google และยักษ์ใหญ่ด้านเทคโนโลยีอื่นๆ ได้ลงทุนหลายล้านเหรียญในองค์กรไม่แสวงหากำไรและมูลนิธิซอฟต์แวร์ เช่น มูลนิธิความปลอดภัยโอเพ่นซอร์ส เพื่อสนับสนุนผู้สร้างโอเพ่นซอร์ส ในด้านนโยบายรัฐบาลสหรัฐฯ มี ยอมรับ SBOM สำหรับหน่วยงานต่างๆ รวมถึงความเคลื่อนไหวอื่นๆ
หากกฎหมายของรัฐบาลกลางฉบับใหม่ผ่าน จะส่งเสริมความร่วมมือระหว่างภาครัฐและเอกชนมากขึ้น และนำภาครัฐมาสู่โต๊ะด้วยวิธีที่มีความหมายมากยิ่งขึ้น ตามข้อมูลของยักษ์ใหญ่ด้านเทคโนโลยี
“การรักษาความปลอดภัยซอฟต์แวร์โอเพ่นซอร์สถือเป็นความรับผิดชอบร่วมกัน และเราหวังว่าจะได้ทำงานร่วมกันอย่างต่อเนื่องเกี่ยวกับปัญหาเร่งด่วนและสำคัญนี้” Hansen กล่าว
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์