Google, açık kaynaklı yazılımlar için güvenliği desteklemeyi amaçlayan ve özel sektörü girişimi desteklemeye çağıran, ABD hükümeti tarafından önerilen bir politika çerçevesine önemli ölçüde ağırlık veriyor.
Geçen ay Senato’da tanıtılan Güvenlik Açık Kaynak Yazılım Yasası [PDF]
federal hükümetin açık kaynaklı yazılım kullanımı için bir güvenlik ve risk azaltma planı oluşturacak iki taraflı bir yasa tasarısıdır.
Royal Hansen, “ABD hükümetinin açık kaynaklı yazılım güvenliğinin önemine sürekli vurgu yaptığını görmekten memnunuz ve hem kamu hem de özel kuruluşların, ekosistemin geneli için gelişmiş siber güvenliği teşvik etme yolunda ilerlemelerini umuyoruz” dedi. , Google’ın güven ve güvenlik ekibinden sorumlu mühendislik başkan yardımcısı, 27 Ekim blog yazısı.
Açık kaynak kodlu yazılım kodu, yani tüm alanlardaki uygulamalar için ücretsiz olarak kullanılabilen yapı taşları, temel olarak modern dijital girişimi yönlendiren motordur. Ancak yazılım tedarik zincirine yönelik kötü niyetli siber faaliyetler, SolarWinds’ten Log4Shell’e, npm gibi güvenilir kod depolarında ortaya çıkan kötü niyetli ve zehirli proje ve paketlere kadar son birkaç çeyrekte rezil bir şekilde arttı.
Hansen, “açık kaynak tedarik zinciriyle ilgili görünüşte basit olan soruların yanıtlanmasının hala zor olduğunu” belirtti:
- Bir proje bilinen güvenlik açıkları içeriyor mu?
- Projenin bakımcıları ve topluluğu, yazılım geliştirme sırasında en iyi güvenlik uygulamalarını takip ediyor mu?
- Hangi açık kaynak bağımlılıkları belirli bir yazılım parçasının parçasıdır?
- Dağıtım tedarik zinciri ne kadar güvenliydi?
Google, hata ödül çabalarını açık kaynağa genişletmek gibi girişimler yoluyla bu sorun üzerinde aktif olarak çalışıyor. Endüstri, savunmasız parçaları arazide çok fazla yayılmadan yakalamaya yardımcı olmak için yazılım malzeme faturaları (SBOM’ler) ve otomatik kod incelemeleri gibi yaklaşımları destekledi. Google ve diğer teknoloji devleri, açık kaynak yaratıcılarını desteklemek için kar amacı gütmeyen kuruluşlara ve Açık Kaynak Güvenlik Vakfı gibi yazılım kuruluşlarına da milyonlarca yatırım yaptı. Politika tarafında, ABD hükümeti diğer hareketlerin yanı sıra ajanslar için SBOM’ları benimsedi.
Yeni federal mevzuat, geçerse, daha fazla kamu-özel ortaklığı teşvik edecek ve teknoloji devine göre kamu sektörünü daha da anlamlı şekillerde masaya yatıracak.
Hansen, “Açık kaynaklı yazılımın güvenliğini sağlamak paylaşılan bir sorumluluktur ve bu acil, kritik sorun üzerinde işbirliğinin devam etmesini dört gözle bekliyoruz.” dedi.