Dopo aver partecipato al recente vertice sulla sicurezza del software open source della Casa Bianca, Google ora chiede una partnership pubblico-privato non solo per finanziare, ma anche personale, progetti open source critici.
In un nuovo post sul blog, Kent Walker, Chairman of Global Affairs e Chief Legal Officer di Alphabet, ha delineato i piani del gigante della ricerca per proteggere meglio l'ecosistema del software open source.
Per troppo tempo, aziende e governi sono stati confortati dal presupposto che il software open source sia generalmente sicuro grazie alla sua natura trasparente. Mentre molti credono che occhi più attenti possano aiutare a individuare e risolvere i problemi nella comunità open source, alcuni progetti in realtà non hanno molti occhi su di loro, mentre altri ne hanno pochi o nessuno.
A suo merito, Google ha lavorato per aumentare la consapevolezza dello stato della sicurezza open source e l'azienda ha investito milioni nello sviluppo di framework e nuovi strumenti di protezione. Tuttavia, la vulnerabilità di Log4j e altre prima di essa hanno dimostrato che è necessario più lavoro in tutto l'ecosistema per sviluppare nuovi modelli per la manutenzione e la protezione del software open source.
partenariato pubblico-privato
Nel suo post sul blog, Kent propone di creare una nuova partnership pubblico-privato per identificare un elenco di progetti open source critici per aiutare a stabilire le priorità e allocare le risorse per mantenerli al sicuro.
Tuttavia, a lungo termine, devono essere implementate nuove modalità di identificazione del software open source e dei componenti che possono rappresentare un rischio per il sistema al fine di anticipare il livello di sicurezza richiesto e fornire risorse adeguate.
Allo stesso tempo, è necessario stabilire basi di riferimento per la sicurezza, la manutenzione e i test nei settori pubblico e privato. Ciò contribuirà a garantire che le infrastrutture nazionali e altri sistemi importanti possano continuare a dipendere da progetti open source. Secondo Kent, questi standard dovrebbero essere sviluppati anche attraverso un processo collaborativo "che enfatizzi aggiornamenti frequenti, test continui e integrità verificata". Fortunatamente, la comunità del software ha già avviato questo lavoro con organizzazioni come OpenSFF che lavorano in tutto il settore per creare questi standard.
Ora che Google ha valutato il problema della sicurezza open source, aspettati che altri giganti della tecnologia come Microsoft e Apple elaborino le proprie idee in merito.
Abbiamo anche raccolto il miglior software open source e i migliori laptop aziendali.