Skrivet av Chris Duckett, APAC-redaktör 
Chris började sitt journalistiska äventyr 2006 som redaktör för Builder AU efter att ha börjat med CBS som programmerare. Efter en kanadensisk vistelse återvände han 2011 som redaktör för TechRepublic Australia och är nu australiensisk redaktör för ZDNet.
Fullständig bio den 16 januari 2022 | Ämne: Säkerhet
Bild: Getty Images
Det har varit ett par intressanta veckor i korsningen mellan Open Source Avenue och Cybersecurity Way, först med situationen kring Log4j, och sedan denna vecka fick en JavaScript-utvecklare nog och blev rouge.
Ursäkta mig medan jag håller fast den här pärluppsättningen väldigt hårt när termen sårbarhet med öppen källkod används, för där det verkar som att regeringar tror att det finns en akut cyberfråga, handlar det oftare om ekonomi.
Särskilt som ett enpersonsprojekt är det bra att skapa under en öppen källkodslicens när du börjar, och det märks knappt och dina användare och andra utvecklare kan hjälpa till att göra programvaran bättre. Men när multinationella företag och regeringar laddar ifrån det, har jag viss sympati för en utvecklare som beslutar att stödja Fortune 500-företag gratis är en bro för långt.
Även om metoden för att injicera en oändlig loop och zalgo-text kanske har lagats, vilken anständig storleksorganisation drog ner och exekverade kod utan att antingen inspektera den eller köra den i en testmiljö först? Det suger att ett antal Node.js-appar ramlade omkull, men tack och lov gjorde det inget skadligt.
Båda organisationer bör betrakta detta som en gratis kontroll av cyber- och mjukvaruförsörjningskedjan, snarare än att skrika ännu mer på en utvecklare som är klar med att bli ropad på.
Det finns en anledning till att XKCD 2347 har fått ett större träningspass än vanligt under de senaste månaderna, och det är för att det avslöjar sanningen i saken.
“Jag arbetade för Linux Foundation på Core Infrastructure Initiative som stöder OpenSSL och andra projekt”, säger en kommentar på den relevanta Explain XKCD-webbplatsen.
“Den som skrämde mig var Expat XML-parsern som underhålls av två personer omväxlande söndagseftermiddagar, förutsatt att inga andra störningar. Vi fick finansiering för en testsvit.”
Jag har liten anledning att tvivla på den här kommentaren, eftersom det är så här stackarna som driver det moderna internet faktiskt fungerar. Djupt i varje stack finns ett helgberoende.
Medan teknikjättarna håvar in miljarder varje kvartal, finns det någonstans ett välanvänt bibliotek som inte får ett öre från dessa industrititaner. Det är inte olagligt, men det är lite rikt från företagens sida att ta vara på gratis arbetskraft som detta.
I det här tillfället trodde jag att en analogi om att en biltillverkare använder frivillig arbetskraft för att tillverka bildelar skulle vara lämplig, men insåg sedan att med alla dessa bilunderhållningssystem måste det finnas några bibliotek med öppen källkod eller applikationer där någonstans. Sådan är 2020-talets värld.
Förra veckan nådde debatten den punkt där den stämplades som ett “nationellt säkerhetsproblem” i USA, och Google och IBM ville ha en lista över kritiska projekt med öppen källkod. Även om båda företagen har varit bland de bästa företagssupportrarna och finansiärerna av öppen källkod, borde den listan verkligen läggas direkt in i deras respektive redovisningssystem och tillräckliga betalningar görs varje månad.
Tyvärr har tiderna i korsningen mellan Open Source Avenue och Cybersecurity Way en känsla av upprepning.
Det var för nästan åtta år sedan under Heartbleed-felet som OpenSSL sa att det var dags för stora användare att slänga iväg och hjälpa till att finansiera projekt.
Vid den tiden hade OpenSSL en heltidsanställd, och ett flöde av donationer veckan efteråt hade bara inbringat 9 000 USD.
“Det krävs nerver av stål för att arbeta i många år på hundratusentals rader med mycket komplex kod, med varje kodrad du rör synlig för världen, med vetskapen om att koden används av banker, brandväggar, vapensystem, webbplatser, smartphones, industri, myndigheter, överallt. Att veta att du kommer att bli ignorerad och ouppskattad tills något går fel, säger OpenSSL Software Foundations president Steve Marquess.
“Kombinationen av personligheten för att hantera den typen av press med relevant teknisk kompetens och erfarenhet för att effektivt arbeta med sådan mjukvara är en sällsynt vara, och de som har det är sannolikt redan en uppskattad, välbelönad och svartsjukt bevakad resurs från något företag eller värdig sak.”
OpenSSL skulle så småningom få lite finansiering från Core Infrastructure Initiative, som skulle ersättas av Open Source Security Foundation, men jag tvivlar på att någon av dessa två organisationer skulle ha betraktat en node.js-modul eller ett Java-loggningsramverk som kritisk infrastruktur värd finansiering och revision.
Finansieringen måste gå längre än bara termen “kritisk” och gå mer mot “utbredd men underfinansierad”, för med rätt sårbarhet kan plötsligt vilken som helst tidigare ofarlig mjukvara bli kritisk.
ZDNETS MÅNDAGSMORGONÖPPARE
Måndagsmorgonöppnaren är vår öppningssalva för veckan inom teknik. Eftersom vi driver en global webbplats publiceras den här redaktionen på måndag kl. 8:00 AEST i Sydney, Australien, vilket är 18:00 Eastern Time på söndagen i USA. En medlem skriver det från ZDNets globala redaktion, som består av våra ledande redaktörer i Asien, Australien, Europa och Nordamerika.
TIDIGARE PÅ MÅNDAGSMORGONÖPPNINGEN:
Nytt år, nytt jobb: Teknikavgången är på väg, så gör dig redo Inte ett tecken längre: Kan motreaktioner sporra sätt att få krypto-cowboys till krängning?
Distansjobb: 5 problem vi måste lösa 2022 Vulkandrivna Bitcoin City kan vara Bond-skurk eller läget 2021
Konglomerat är döda, men teknikjättar är konglomerat i träning Storbritanniens röda telefonlådor håller på att försvinna. Men vissa får ett andra liv När metaversen kommer finns det få bra alternativ för vem som ska styra den
Varför din nästa bärbara dator kommer att bli 16-tums Fysiska webbkameraskydd ingår inte vid stora utgifter för en ny MacBook Pro eller Dell XPSDeveloper kompetens har förändrats. Men de flesta företag har ännu inte lagt märke till Asynkrona videor: Kan TikTok-generationen rädda oss från att möta överbelastning?
Hunker down: Chipbristen och högre priser kommer att dröja kvar ett tag. Raden med jobb på distans visar hur mycket tekniken har förändrats med öppen källkod | Säkerhets-TV | Datahantering | CXO | Datacenter