Nach einem Gipfeltreffen zur Open-Source-Sicherheit, das am Donnerstag im Weißen Haus stattfand, hat Google zu einer verstärkten Beteiligung der Regierung an der Identifizierung und Sicherung kritischer Open-Source-Softwareprojekte aufgerufen.
In einem kurz nach dem Gipfel veröffentlichten Blogbeitrag sagte Kent Walker, Präsident für globale Angelegenheiten und Chief Legal Officer bei Google und Alphabet, dass die Zusammenarbeit zwischen der Regierung und dem Privatsektor für die Finanzierung und Verwaltung von Open Source erforderlich sei.
„Wir brauchen eine öffentlich-private Partnerschaft, um eine Liste kritischer Open-Source-Projekte zu erstellen – wobei die Kritikalität auf der Grundlage des Einflusses und der Bedeutung eines Projekts bestimmt wird – um bei der Priorisierung und Zuweisung von Ressourcen für die wesentlichste Sicherheit zu helfen Bewertungen und Verbesserungen“, schrieb Walker.
Der Blogbeitrag forderte auch eine Erhöhung der öffentlichen und privaten Investitionen, um das Open-Source-Ökosystem sicher zu halten, insbesondere wenn die Software in Infrastrukturprojekten verwendet wird. Größtenteils werden Finanzierung und Überprüfung solcher Projekte vom privaten Sektor durchgeführt.
Das Weiße Haus hatte bis zum Zeitpunkt der Veröffentlichung nicht auf eine Bitte um Stellungnahme geantwortet.
„Open-Source-Softwarecode steht der Öffentlichkeit zur Verfügung und kann von jedem kostenlos verwendet, modifiziert oder inspiziert werden … Deshalb ist er in vielen Aspekten kritischer Infrastrukturen und nationaler Sicherheitssysteme integriert“, schrieb Walker. „Aber es gibt keine offizielle Ressourcenzuweisung und nur wenige formale Anforderungen oder Standards für die Aufrechterhaltung der Sicherheit dieses kritischen Codes. Tatsächlich wird der größte Teil der Arbeit zur Aufrechterhaltung und Verbesserung der Sicherheit von Open Source, einschließlich der Behebung bekannter Schwachstellen, auf freiwilliger Ad-hoc-Basis durchgeführt.“
Der Mangel an Finanzierung und Ressourcen für die Open-Source-Entwicklung werden seit langem als Sicherheitsbedenken geäußert und sind nach der Entdeckung eines schwerwiegenden Fehlers in der Log4j-Java-Bibliothek, der sich schnell zur größten Cybersicherheitslücke der letzten Jahre entwickelt hat, wieder zu einem Schlüsselproblem geworden. Die Log4j-Bibliothek wurde ebenfalls größtenteils durch unbezahlte Arbeit entwickelt und gepflegt.
Wenn Open-Source-Projekte Finanzmittel erhalten, stammen diese im Allgemeinen aus privaten Quellen wie Einzelspenden oder Sponsoring von Technologieunternehmen. Google hat vor Kurzem 1 Million US-Dollar zum Prämienprogramm “Secure Open Source” (SOS) beigetragen, einem Pilotprogramm der Linux Foundation, um Entwickler finanziell zu entschädigen, die an der Verbesserung der Sicherheit von Open-Source-Projekten arbeiten.