Google призвала власти принять меры для защиты ПО с открытым исходным кодом

Google призвала власти принять меры для защиты ПО с открытым исходным кодом

Сотрудничество между правительством и частным сектором необходимо для управления открытым исходным кодом.

После саммита по кибербезопасности открытого исходного кода, состоявшегося в Белом доме, Google призвала к более активному участию правительства в выявлении и защите критически важных проектов программного обеспечения с открытым исходным кодом.

По словам президента по международным делам и главного юрисконсульта Google и Alphabet Кента Уокера (Kent Walker), сотрудничество между правительством и частным сектором необходимо для финансирования и управления открытым исходным кодом.

«Нам нужно государственно-частное партнерство, чтобы определить список критически важных проектов с открытым исходным кодом, помочь расставить приоритеты и выделить ресурсы для наиболее важных анализов и улучшений безопасности», — сообщил Уокер.

В сообщении также содержится призыв к увеличению государственных и частных инвестиций для обеспечения безопасности экосистемы с открытым исходным кодом, особенно когда программное обеспечение используется в инфраструктурных проектах. По большей части финансирование и рассмотрение таких проектов осуществляется частным сектором.

Как отметил Уокер, код программного обеспечения с открытым исходным кодом доступен для общественности, его можно бесплатно использовать, модифицировать или проверить. Поэтому многие аспекты критической инфраструктуры и систем национальной безопасности включают его. Но нет официального распределения ресурсов и мало формальных требований или стандартов для обеспечения безопасности этого важного элемента. Большая часть работы по поддержанию и повышению безопасности открытого исходного кода, включая исправление уязвимостей, выполняется на добровольной основе.

Нехватка финансирования и ресурсов для разработки с открытым исходным кодом долгое время поднималась как проблема безопасности и вновь стала ключевой проблемой после обнаружения серьезной уязвимости Log4shell в библиотеке Apache Log4j на базе Java.

Некоторые разработчики ПО с открытым исходным кодом устали от того, что компании пользуются кодом, но ни копейки не вкладывают в проекты. Например, разработчик по имени Марак Сквайрс (Marak Squires) намеренно ввел бесконечный цикл в популярные библиотеки с открытым исходным кодом colors и faker, блокировав тысячи зависящих проектов. Кроме того, создатель набора библиотек Apache PLC4X Кристофер Дутц (Christofer Dutz) сообщил о намерении прекратить поддержку ПО, если корпоративные пользователи не начнут платить.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!