Google đang dồn sức mạnh đáng kể của mình cho một khuôn khổ chính sách do chính phủ Hoa Kỳ đề xuất nhằm tăng cường bảo mật cho phần mềm nguồn mở, kêu gọi khu vực tư nhân hỗ trợ sáng kiến này.
Đạo luật Phần mềm Nguồn Mở Bảo mật được giới thiệu tại Thượng viện vào tháng trước [PDF]
là một dự luật lưỡng đảng sẽ tạo ra một kế hoạch chi tiết về an ninh và giảm thiểu rủi ro cho việc sử dụng phần mềm nguồn mở của chính phủ liên bang.
Royal Hansen lưu ý: “Chúng tôi rất vui khi thấy chính phủ Hoa Kỳ tiếp tục nhấn mạnh vào tầm quan trọng của bảo mật phần mềm nguồn mở và chúng tôi hy vọng rằng cả các tổ chức công và tư nhân sẽ đi theo sự dẫn dắt của họ để thúc đẩy an ninh mạng được cải thiện cho hệ sinh thái nói chung”. , phó chủ tịch kỹ thuật của nhóm tin cậy và an toàn của Google, trong một Bài đăng trên blog ngày 27 tháng XNUMX.
Mã phần mềm nguồn mở, tức là các khối xây dựng có sẵn miễn phí cho các ứng dụng thuộc mọi loại, về cơ bản là động cơ thúc đẩy doanh nghiệp kỹ thuật số hiện đại. Nhưng ác ý hoạt động mạng chống lại chuỗi cung ứng phần mềm đã tăng vọt một cách khét tiếng trong vài quý vừa qua, từ SolarWinds
đến Nhật ký4Shell
đến vô số các dự án và gói độc hại và độc hại xuất hiện trong các gói đáng tin cậy kho mã như npm.
Hansen lưu ý rằng “những câu hỏi tưởng chừng đơn giản về chuỗi cung ứng nguồn mở vẫn khó trả lời”, bao gồm:
- Dự án có chứa các lỗ hổng đã biết không?
- Những người bảo trì dự án và cộng đồng có tuân thủ các biện pháp bảo mật tốt nhất trong quá trình phát triển phần mềm không?
- Những phần phụ thuộc nguồn mở nào là một phần của một phần mềm cụ thể?
- Chuỗi cung ứng phân phối an toàn đến mức nào?
Google đã và đang tích cực giải quyết vấn đề này thông qua các sáng kiến như mở rộng nỗ lực thưởng lỗi của nó sang nguồn mở. Ngành công nghiệp này đã ủng hộ những cách tiếp cận như Hóa đơn vật liệu phần mềm (SBOM) và đánh giá mã tự động để giúp phát hiện các phần dễ bị tổn thương trước khi chúng lan truyền quá xa trên toàn cảnh. Google và những gã khổng lồ công nghệ khác cũng đã đầu tư hàng triệu USD vào các tổ chức phi lợi nhuận và quỹ phần mềm như Quỹ bảo mật nguồn mở để hỗ trợ những người sáng tạo nguồn mở. Về mặt chính sách, chính phủ Mỹ đã ôm lấy SBOM cho các cơ quan, trong số các động thái khác.
Theo gã khổng lồ công nghệ, luật liên bang mới, nếu được thông qua, sẽ khuyến khích nhiều quan hệ đối tác công-tư hơn và đưa khu vực công vào bàn đàm phán theo những cách thậm chí còn có ý nghĩa hơn.
Hansen cho biết: “Bảo mật phần mềm nguồn mở là trách nhiệm chung và chúng tôi mong muốn được tiếp tục hợp tác giải quyết vấn đề cấp bách, quan trọng này”.
