Google докладає значних зусиль за запропоновану урядом США політику, спрямовану на посилення безпеки програмного забезпечення з відкритим кодом, закликаючи приватний сектор підтримати цю ініціативу.
Закон про безпеку програмного забезпечення з відкритим кодом, представлений Сенатом минулого місяця [PDF]
є двопартійним законопроектом, який створить план безпеки та зменшення ризиків для використання федеральним урядом програмного забезпечення з відкритим кодом.
«Ми раді, що уряд США продовжує наголошувати на важливості безпеки програмного забезпечення з відкритим вихідним кодом, і ми сподіваємося, що державні та приватні організації підуть їхнім прикладом для сприяння покращенню кібербезпеки для екосистеми в цілому», — зазначив Роял Хансен. , віце-президент з питань довіри та безпеки Google, в Повідомлення в блозі від 27 жовт.
Код програмного забезпечення з відкритим вихідним кодом, тобто вільнодоступні будівельні блоки для програм усіх мастей, є принципово двигуном, який рухає сучасне цифрове підприємство. Але зловмисний кіберактивність проти ланцюга постачання програмного забезпечення сумно відома спіраль за останні кілька кварталів, з SolarWinds
до Log4Shell
до рогу достатку шкідливих та отруєних проектів і пакетів, які з’являються в довірених сховища коду, такі як npm.
Хансен зауважив, що «на перший погляд прості питання про ланцюжок постачання з відкритим кодом все ще важко відповісти», зокрема:
- Чи містить проект відомі вразливості?
- Чи дотримуються супроводжувачі проекту та спільнота найкращих практик безпеки під час розробки програмного забезпечення?
- Які залежності з відкритим кодом є частиною конкретного програмного забезпечення?
- Наскільки безпечним був ланцюжок постачання?
Google активно працює над цією проблемою через такі ініціативи, як розширює свої зусилля з винагороди за помилки відкрити код. Індустрія відстоює такі підходи, як специфікації програмного забезпечення (SBOMs) і автоматизовані перевірки коду, щоб допомогти виявити вразливі фрагменти, перш ніж вони поширяться надто далеко. Google та інші технологічні гіганти також інвестували мільйони в некомерційні організації та фонди програмного забезпечення, такі як Open Source Security Foundation для підтримки творців з відкритим кодом. Що стосується політики, уряд США має охопив СБОМ для агентств, серед іншого.
За словами технічного гіганта, нове федеральне законодавство, якщо воно буде прийняте, заохочуватиме більше державно-приватного партнерства та залучатиме державний сектор до переговорів ще більш значущими способами.
«Захист програмного забезпечення з відкритим вихідним кодом є спільною відповідальністю, і ми з нетерпінням чекаємо на продовження співпраці над цією актуальною критичною проблемою», — сказав Хансен.