Google, açık kaynaklı yazılımlar için güvenliği desteklemeyi amaçlayan ve özel sektörü bu girişimi desteklemeye çağıran ABD hükümetinin öncülüğünde önerilen bir politika çerçevesine önemli bir ağırlık veriyor.
Geçen ay Senato'da tanıtılan Güvenli Açık Kaynak Yazılım Yasası [PDF]
federal hükümetin açık kaynaklı yazılım kullanımı için bir güvenlik ve risk azaltma planı oluşturacak iki partili bir yasa tasarısıdır.
Royal Hansen, "ABD hükümetinin açık kaynaklı yazılım güvenliğinin önemine devam eden vurguyu görmekten memnuniyet duyuyoruz ve hem kamu hem de özel kuruluşların ekosistemin genelinde gelişmiş siber güvenliği teşvik etmek için onların izinden gideceklerini umuyoruz" dedi. , Google'ın güven ve emniyet ekibinden sorumlu mühendislik başkan yardımcısı, 27 Ekim blog gönderisi.
Açık kaynak yazılım kodu, yani her türden uygulama için serbestçe kullanılabilen yapı taşları, temel olarak modern dijital işletmeyi yönlendiren motordur. Ama kötü niyetli yazılım tedarik zincirine karşı siber faaliyet son birkaç çeyrekte rezil bir şekilde yükseldi SolarWinds
için Log4Shell
güvenilir ortamlarda ortaya çıkan kötü amaçlı ve zehirli projeler ve paketlerden oluşan bir bolluğa npm gibi kod havuzları.
Hansen, "açık kaynak tedarik zinciriyle ilgili görünüşte basit soruların yanıtlanmasının hala zor olduğunu" belirtti:
- Bir proje bilinen güvenlik açıkları içeriyor mu?
- Projenin sahipleri ve topluluğu, yazılım geliştirme sırasında en iyi güvenlik uygulamalarını takip ediyor mu?
- Belirli bir yazılımın parçası olan açık kaynak bağımlılıkları nelerdir?
- Dağıtım tedarik zinciri ne kadar güvenliydi?
Google, aşağıdaki gibi girişimler aracılığıyla sorun üzerinde aktif olarak çalışmaktadır: bug-ödül çabalarını genişletiyor kaynağı açmak için. Endüstri, aşağıdaki gibi yaklaşımları savundu: yazılım malzeme listeleri (SBOM'ler) ve savunmasız parçaları arazide çok uzağa yayılmadan yakalamaya yardımcı olmak için otomatik kod incelemeleri. Google ve diğer teknoloji devleri de kar amacı gütmeyen kuruluşlara ve yazılım kuruluşlarına milyonlarca yatırım yaptı. Açık Kaynak Güvenlik Vakfı açık kaynak oluşturucuları desteklemek için. Politika tarafında, ABD hükümeti benimsenen SBOM'lar diğer hamlelerin yanı sıra ajanslar için.
Teknoloji devine göre, yeni federal yasa geçerse, daha fazla kamu-özel sektör ortaklığını teşvik edecek ve kamu sektörünü daha anlamlı şekillerde masaya oturtacak.
Hansen, "Açık kaynaklı yazılımların güvenliğini sağlamak paylaşılan bir sorumluluktur ve bu acil, kritik sorun üzerinde işbirliğini sürdürmeyi dört gözle bekliyoruz" dedi.
