Google ha chiesto al governo degli Stati Uniti di adottare un approccio più proattivo nell’identificare e proteggere gli strumenti di sicurezza informatica open source essenziali per la sicurezza di Internet.
L’azienda post sul blog in seguito al vertice sulla vulnerabilità Log4j della Casa Bianca di giovedì, ha rilevato che il paese ha bisogno di un partenariato pubblico-privato per stabilire un tale programma.
Kent Walker, chief legal officer di Google e Alphabet, ha dichiarato: “Abbiamo bisogno di una partnership pubblico-privato per identificare un elenco di progetti open source critici, con la criticità determinata in base all’influenza e all’importanza di un progetto, per aiutare a stabilire le priorità e allocare le risorse per le valutazioni e i miglioramenti della sicurezza più essenziali.
Google chiede l’aiuto del governo per progetti open source più sicuri
Il post ha sottolineato la necessità di maggiori investimenti pubblici e privati per salvaguardare l’ambiente open source, in particolare quando il software viene utilizzato nei progetti infrastrutturali. Il settore privato, nel complesso, gestisce il finanziamento e la valutazione di queste iniziative.
“Il codice del software open source è disponibile al pubblico, gratuito per chiunque lo utilizzi, lo modifichi o lo ispezioni… Ecco perché molti aspetti delle infrastrutture critiche e dei sistemi di sicurezza nazionale lo incorporano”, ha scritto Walker. “Ma non c’è un’allocazione ufficiale delle risorse e pochi requisiti o standard formali per mantenere la sicurezza di quel codice critico. In effetti, la maggior parte del lavoro per mantenere e migliorare la sicurezza dell’open source, inclusa la correzione delle vulnerabilità note, viene svolto su base volontaria ad hoc”.
Dopo la scoperta di un grave difetto nella libreria Java di Log4j, che è diventata rapidamente la più grave vulnerabilità di sicurezza informatica degli ultimi anni, sono state da tempo sollevate preoccupazioni per la mancanza di risorse finanziarie e tecniche per lo sviluppo open-source. Anche la libreria Log4j è stata sviluppata e mantenuta principalmente dal lavoro di volontariato.
Google chiude il progetto Museletter dopo soli tre mesi dal suo lancio
Fonti private, come donazioni individuali o sponsorizzazioni aziendali, sono responsabili della maggior parte dei finanziamenti dei progetti open source. Google ha contribuito con 1 milione di dollari al programma di premi Secure Open Source (SOS), un progetto pilota gestito dalla Linux Foundation per premiare finanziariamente gli sviluppatori che lavorano per rafforzare la sicurezza dei progetti open source.