Google vient de donner un coup de pouce aux logiciels open source avec le lancement d'équipes de sécurité et d'assistance dédiées.
La "Open Source Maintenance Team" sera une nouvelle équipe de développeurs qui travaillera sur les problèmes de sécurité liés aux projets open source, comme la configuration des mises à jour.
L'annonce a été faite lors du White House Open Source Security Summit, où Google a rejoint l'Open Source Security Foundation (OpenSSF) et la Linux Foundation pour discuter des problèmes de sécurité open source.
Pourquoi le déménagement ?
En décembre 2021, le conseiller à la sécurité nationale de la Maison Blanche, Jake Sullivan, a envoyé une lettre aux PDG d'entreprises technologiques américaines après que la vulnérabilité Log4Shell a été identifiée dans le populaire framework de journalisation Java Apache open source, Log4j.
La vulnérabilité a été utilisée pour installer des logiciels malveillants, le cryptomining, ajouter les appareils aux botnets Mirai et Muhstik, déposer des balises Cobalt Strike, rechercher la divulgation d'informations ou pour un mouvement latéral sur le réseau affecté selon un article de blog Microsoft.
"Ce problème de sécurisation des logiciels open source n'est pas seulement une question d'argent, pour de nombreux projets open source critiques, il s'agit du nombre de personnes impliquées et du temps qu'elles peuvent consacrer au travail", a déclaré Abishek, ingénieur senior en sécurité open source de Google. Aria.
«Même avec plus de financement, nous devons être en mesure de diriger cet argent vers les bonnes cibles. C'est un problème de personnes autant qu'un problème d'argent.
Il a ajouté : "Pour relever ce défi de manière significative, Google a fourni des ressources à l'"équipe de maintenance Open Source" avec l'idée qu'une entité comme OpenSSF pourrait gérer le groupe et agir comme un conduit pour les projets critiques."
Cette décision intervient alors que l'adoption de l'open source prend de l'ampleur et gagne en popularité au sein de la communauté informatique, avec des cas d'utilisation tels que la collaboration en ligne qui alimentent sa popularité.
Le récent rapport 2022 sur l'état de l'open source, mené par OpenLogic, a interrogé 2660 27 professionnels et leurs organisations utilisant des outils open source et a constaté que plus d'un quart (13,9 %) ont déclaré n'avoir aucune réserve à propos de ces outils, alors que seulement XNUMX % étaient concernés. à leur sujet étant peu sûrs et non testés.