Google heeft de Amerikaanse regering gevraagd om een meer proactieve benadering te volgen bij het identificeren en beschermen van open-source cyberbeveiligingstools die essentieel zijn voor de veiligheid van internet.
de firma’s blogpost na de Log4j-kwetsbaarheidstop van het Witte Huis op donderdag merkte op dat het land een publiek-private samenwerking nodig heeft om een dergelijk programma op te zetten.
Kent Walker, chief legal officer bij Google en Alphabet, zei: “We hebben een publiek-private samenwerking nodig om een lijst met kritieke open source-projecten te identificeren – waarvan de kriticiteit wordt bepaald op basis van de invloed en het belang van een project – om te helpen prioriteiten te stellen en middelen toe te wijzen voor de meest essentiële security assessments en verbeteringen.”
Google roept overheidssteun in voor veiligere open-sourceprojecten
De post benadrukte de noodzaak van meer publieke en private investeringen om de open source-omgeving te beschermen, met name wanneer software wordt gebruikt in infrastructuurprojecten. De particuliere sector beheert over het algemeen de financiering en evaluatie van deze initiatieven.
“Open source-softwarecode is beschikbaar voor het publiek, gratis voor iedereen om te gebruiken, aan te passen of te inspecteren … Dat is de reden waarom veel aspecten van kritieke infrastructuur en nationale veiligheidssystemen het bevatten”, schreef Walker. “Maar er is geen officiële toewijzing van middelen en er zijn weinig formele vereisten of standaarden om de veiligheid van die kritieke code te handhaven. In feite wordt het meeste werk om de beveiliging van open source te behouden en te verbeteren, inclusief het oplossen van bekende kwetsbaarheden, gedaan op ad-hocbasis, op vrijwillige basis.”
Na de ontdekking van een grote fout in de Log4j Java-bibliotheek, die al snel de meest ernstige cyberbeveiligingskwetsbaarheid van de afgelopen jaren werd, zijn er al lang zorgen over een gebrek aan financiële en technische middelen voor open-sourceontwikkeling. Ook de Log4j-bibliotheek is voornamelijk ontwikkeld en onderhouden door vrijwilligerswerk.
Google sluit Museletter-project af na slechts drie maanden na lancering
Particuliere bronnen, zoals individuele donaties of bedrijfssponsoring, zijn verantwoordelijk voor het merendeel van de financiering van open-sourceprojecten. Google heeft $ 1 miljoen bijgedragen aan het Secure Open Source (SOS)-beloningsprogramma, een proefproject van de Linux Foundation om ontwikkelaars financieel te belonen die werken aan het versterken van de beveiliging van open-sourceprojecten.