У четвер в Білому домі відбулася зустріч, на якій технологічні компанії обговорювали безпеку програмного забезпечення з відкритим кодом, Google запропонував три ініціативи для посилення національної кібербезпеки.
Зустріч була організована радником США з національної безпеки Джейком Салліваном на тлі боротьби з виправленням уразливостей Log4j. До обговорення долучилися Amazon, Apple, Google, IBM, яку представляла придбана нею Red Hat, Microsoft та Oracle, котрі також поділитися ідеями щодо поліпшення безпеки проєктів із відкритим кодом.
Головний юридичний директор Google Кент Волкер у своєму блозі сказав, що проблема з Log4j продемонструвала, що програмне забезпечення з відкритим кодом потребує такої ж уваги та підтримки, як і будь-яка критична інфраструктура.
Він заявив, що IT-спільнота занадто довго вважала, що програмне забезпечення з відкритим кодом, як правило, безпечне завдяки своїй прозорості та заспокоювала себе що «багато очей» спостерігають за виявленням й усуненням проблем. Але насправді, хоча за деякими проєктами дійсно стежить багато розробників, спільнота не приділяє їм достатньо уваги або й узагалі нехтує ними».
Волкер розповів про вже докладені зусилля та окреслив кілька можливих варіантів співпраці держави та бізнесу, які були згадані на зустрічі:
- Визначити список надважливих проєктів з відкритим кодом
- Розробити базові стандарти безпеки, обслуговування, походження та тестування
- Створити ринок технічної підтримки, залучити волонтерів до проєктів, котрі цього потребують
Знання того, які проєкти з відкритим кодом мають найбільший вплив на інформаційну інфраструктуру, безумовно, важливо для розуміння, помилки в яких проєктах матимуть найбільший вплив. Інженери з програмного забезпечення Google вже замислювалися над визначенням «критичності» в контексті програмного забезпечення, тому робота над цим триває. Насправді існує програмне забезпечення для генерування оцінки критичності для іншого програмного забезпечення.
Стосовно базових стандартів, Open Source Security Foundation вже працює над ними, і вже існують такі фреймворки, як-от розроблені Google Supply chain Levels for Software Artifacts, робота над яким ще триває.
Щодо поточного стану фінансування, то воно в основному надходить з приватних джерел, таких як індивідуальні внески або спонсорство від технологічних компаній. За останній час Google надала 1 мільйон доларів на програму Secure Open Source (SOS), пілотну схему, якою керує Linux Foundation, з якої надається допомога розробникам, котрі працюють над поліпшенням безпеки відкритих проєктів.
Ще немає коментарів