For sikkerheten alene kan vi prøve å betale åpen kildekode-prosjekter riktig

0
121

Chris DuckettSkrevet av Chris Duckett, APAC-redaktør Chris Duckett Chris Duckett APAC Editor

Chris startet sitt journalistiske eventyr i 2006 som redaktør for Builder AU etter at han opprinnelig begynte i CBS som programmerer. Etter et kanadisk opphold kom han tilbake i 2011 som redaktør for TechRepublic Australia, og er nå australsk redaktør for ZDNet.

Full bio 16. januar 2022 | Emne: Sikkerhet

log4j-gettyimages.jpg

Bilde: Getty Images

Det har vært et par interessante uker i skjæringspunktet mellom Open Source Avenue og Cybersecurity Way, først med situasjonen rundt Log4j, og så denne uken fikk en JavaScript-utvikler nok og ble rå.

Unnskyld meg mens jeg klemmer dette perlesettet veldig hardt når begrepet åpen kildekode-sårbarhet brukes, for der det ser ut til at regjeringer tror det er et presserende cyberproblem, er det oftere økonomi.

Spesielt som et enkeltpersonsprosjekt er det flott å lage under en åpen kildekode-lisens når du starter opp, og det blir knapt lagt merke til, og brukerne og andre utviklere kan bidra til å gjøre programvaren bedre. Men når multinasjonale selskaper og myndigheter frigjør fra det, har jeg en viss sympati for en utvikler som bestemmer seg for å støtte Fortune 500-selskaper gratis er en bro for langt.

Selv om metodikken for å injisere en uendelig sløyfe og zalgo-tekst kan ha blitt tilberedt, hvilken anstendig størrelse organisasjon var det som trakk ned og utførte kode uten enten å inspisere den eller kjøre den i et testmiljø først? Det er trist at en rekke Node.js-apper falt over, men heldigvis gjorde det ikke noe ondsinnet.

Berørte organisasjoner bør vurdere dette som en gratis sjekk av cyber- og programvareforsyningskjeden, i stedet for å rope enda mer på en utvikler som er ferdig med å bli kjeftet på.

Det er en grunn til at XKCD 2347 har fått en større treningsøkt enn vanlig de siste månedene, og det er fordi den avslører sannheten i saken.

“Jeg jobbet for Linux Foundation på Core Infrastructure Initiative som støtter OpenSSL og andre prosjekter,” sier en kommentar på det relevante Explain XKCD-nettstedet.

“Den som skremte meg var Expat XML-parseren vedlikeholdt av to personer vekselvis søndag ettermiddag, forutsatt at ingen andre forstyrrelser. Vi fikk midler til en testpakke.”

Jeg har liten grunn til å tvile på denne kommentaren, fordi dette er hvordan stablene som driver det moderne internett faktisk fungerer. Dypt i hver stabel er en helgeavhengighet.

Mens teknologigigantene håver inn milliarder hvert kvartal, er det et eller annet sted et velbrukt bibliotek som ikke mottar en krone fra disse industriens titaner. Det er ikke ulovlig, men det er litt rikt fra bedriftenes side å utnytte gratis arbeidskraft som dette.

På dette tidspunktet tenkte jeg at en analogi om en bilprodusent som bruker frivillig arbeidskraft til å lage bildeler ville være passende, men så innså jeg at med alle disse bilunderholdningssystemene, må det være noen åpen kildekode-biblioteker eller applikasjoner der inne et sted. Slik er 2020-tallets verden.

I forrige uke nådde debatten et punkt hvor den ble stemplet som et “nasjonalt sikkerhetsproblem” i USA, og Google og IBM ønsket en liste over kritiske åpen kildekode-prosjekter. Selv om begge selskapene har vært blant de beste støttespillerne og finansiererne av åpen kildekode, bør den listen settes rett inn i deres respektive regnskapssystemer og tilstrekkelige betalinger gjøres hver måned.

Dessverre har tidene i skjæringspunktet mellom Open Source Avenue og Cybersecurity Way en følelse av gjentakelse.

Det var for nesten åtte år siden under Heartbleed-feilen at OpenSSL sa at det var på tide for store brukere å stoppe opp og hjelpe til med å finansiere prosjekter.

På det tidspunktet hadde OpenSSL en heltidsansatt, og en strøm av donasjoner i uken etterpå hadde gitt bare 9000 dollar.

“Det krever nerver av stål for å jobbe i mange år på hundretusenvis av linjer med svært kompleks kode, med hver linje med kode du berører synlig for verden, vel vitende om at koden brukes av banker, brannmurer, våpensystemer, nettsider, smarttelefoner, industri, myndigheter, overalt. Å vite at du vil bli ignorert og ikke verdsatt til noe går galt,” sa OpenSSL Software Foundation-president Steve Marquess.

“Kombinasjonen av personligheten til å håndtere den typen press med relevante tekniske ferdigheter og erfaring for å effektivt arbeide med slik programvare er en sjelden vare, og de som har det er sannsynligvis allerede verdsatt, godt belønnet og nidkjært bevoktet ressurs fra et eller annet selskap eller verdig sak.”

OpenSSL vil til slutt få litt finansiering fra Core Infrastructure Initiative, som ville bli erstattet av Open Source Security Foundation, men jeg tviler på at noen av disse to organisasjonene ville ha vurdert en node.js-modul eller et Java-loggingsrammeverk som kritisk infrastruktur verdig finansiering og revisjon.

Finansiering må gå utover bare begrepet “kritisk” og bevege seg mer mot “utbredt, men underfinansiert”, for med riktig sårbarhet kan plutselig enhver tidligere ufarlig programvare bli kritisk.

ZDNETS MANDAGS MORGEN ÅPNER  

Åpneren mandag morgen er vår åpningssalve for uken innen teknologi. Siden vi driver et globalt nettsted, publiseres denne redaksjonen mandag kl. 08:00 AEST i Sydney, Australia, som er 18:00 Eastern Time på søndag i USA. Et medlem skriver det fra ZDNets globale redaksjon, som består av våre ledende redaktører over hele Asia, Australia, Europa og Nord-Amerika.

TIDLIGERE PÅ MANDAG MORGEN ÅPNER: 

Nytt år, ny jobb: Teknologioppsigelsene kommer, så gjør deg klar Ikke et tegn lenger: Kan tilbakeslag anspore måter å bringe krypto-cowboyer på hæl?
Fjernarbeidsjobber: 5 problemer vi må løse i 2022Vulkandrevet Bitcoin City kan være Bond-skurk eller tilstanden i 2021
Konglomerater er døde, men teknologigiganter er konglomerater under trening. Storbritannias røde telefonbokser forsvinner. Men noen får et nytt liv Når metaversen kommer, er det få gode alternativer for hvem som skal kontrollere den
Hvorfor din neste bærbare datamaskin blir 16-tommers Fysiske webkameradeksler er ikke inkludert for store utgifter til en ny MacBook Pro eller Dell XPSDeveloper ferdigheter har endret seg. Men de fleste bedrifter har ikke lagt merke til ennå Asynkrone videoer: Kan TikTok-generasjonen redde oss fra å møte overbelastning?
Hunker ned: Brikkemangelen og høyere priser er satt til å henge igjen en stund. Rad med eksterne jobber viser hvor mye teknologien har endret åpen kildekode | Sikkerhets-TV | Databehandling | CXO | Datasentre