Jonathan Greig Personalskribent
Jonathan Greig är journalist baserad i New York City.
Fullständig bio den 13 januari 2022 | Ämne: Öppen källkod
Google och IBM uppmanar tekniska organisationer att gå samman för att identifiera kritiska projekt med öppen källkod efter att ha deltagit i ett möte i Vita huset om säkerhetsproblem med öppen källkod.
Mötet, ledd av Vita husets cybersäkerhetsledare Anne Neuberger, inkluderade tjänstemän från organisationer som Apache, Google, Apple, Amazon, IBM, Microsoft, Meta, Linux och Oracle samt statliga myndigheter som försvarsdepartementet och cybersäkerhet och infrastruktur Säkerhetsbyrån (CISA). Mötet ägde rum när organisationer fortsätter att ta itu med Log4j-sårbarheten som har orsakat oro sedan den upptäcktes i december.
Kent Walker, ordförande för globala angelägenheter på Google och Alphabet, sa att med tanke på vikten av digital infrastruktur för världen är det dags att börja tänka på det på samma sätt som vi gör vår fysiska infrastruktur.
“Mjukvara med öppen källkod är en bindväv för stora delar av onlinevärlden — den förtjänar samma fokus och finansiering som vi ger till våra vägar och broar,” sa Walker.
I ett blogginlägg förklarade Walker att Google under mötet lade fram flera förslag för hur man kan gå vidare i kölvattnet av Log4j-sårbarheten.
Walker sa att ett offentligt-privat partnerskap behövs för att identifiera en lista över kritiska projekt med öppen källkod, och kritik bör bestämmas utifrån inflytandet och betydelsen av ett projekt. Listan kommer att hjälpa organisationer att prioritera och allokera resurser för de viktigaste säkerhetsbedömningarna och förbättringarna.
IBM:s företagssäkerhetschef Jamie Thomas upprepade Walkers kommentarer och sa att mötet i Vita huset “klargjorde att regeringen och industrin kan arbeta tillsammans för att förbättra säkerhetspraxis för öppen källkod.”
“Vi kan börja med att uppmuntra ett brett antagande av öppna och förnuftiga säkerhetsstandarder, identifiera kritiska tillgångar med öppen källkod som bör uppfylla de mest rigorösa säkerhetskraven, och främja en gemensam nationell ansträngning för att utöka kompetensträning och utbildning i öppen källkodssäkerhet och belöna utvecklare som gör viktiga framsteg på fältet”, sa Thomas.
Walker hyllade arbetet i organisationer som OpenSSF – som Google investerade 100 miljoner dollar i – som redan försöker skapa standarder som denna.
Google | Företagsprogramvara | Linux | Utvecklare | säkerhet