Jonathan Greig Personaleskribent
Jonathan Greig er journalist baseret i New York City.
Fuld biografi den 13. januar 2022 | Emne: Open Source
Google og IBM opfordrer tech-organisationer til at gå sammen for at identificere kritiske open source-projekter efter at have deltaget i et møde i Det Hvide Hus om open source-sikkerhedsproblemer.
Mødet, ledet af cybersikkerhedsleder i Det Hvide Hus, Anne Neuberger, omfattede embedsmænd fra organisationer som Apache, Google, Apple, Amazon, IBM, Microsoft, Meta, Linux og Oracle samt statslige agenturer som forsvarsministeriet og cybersikkerhed og infrastruktur Security Agency (CISA). Mødet fandt sted, mens organisationer fortsætter med at adressere Log4j-sårbarheden som har vakt bekymring, siden den blev opdaget i december.
Kent Walker, præsident for globale anliggender hos Google og Alphabet, sagde, at i betragtning af vigtigheden af digital infrastruktur for verden, er det på tide at begynde at tænke på det på samme måde, som vi gør vores fysiske infrastruktur.
“Open source-software er et bindevæv for store dele af onlineverdenen – det fortjener det samme fokus og den samme finansiering, som vi giver til vores veje og broer,” sagde Walker.
I et blogindlæg, forklarede Walker, at Google under mødet fremsatte flere forslag til, hvordan man kan komme videre i kølvandet på Log4j-sårbarheden.
Walker sagde, at et offentligt-privat partnerskab er nødvendigt for at identificere en liste over kritiske open source-projekter, og kritikalitet bør bestemmes ud fra et projekts indflydelse og betydning. Listen vil hjælpe organisationer med at prioritere og allokere ressourcer til de mest væsentlige sikkerhedsvurderinger og -forbedringer.
IBM's virksomhedssikkerhedschef Jamie Thomas gentog Walkers kommentarer og sagde, at mødet i Det Hvide Hus “gjorde det klart, at regeringen og industrien kan arbejde sammen om at forbedre sikkerhedspraksis for open source.”
“Vi kan starte med at tilskynde til udbredt overtagelse af åbne og fornuftige sikkerhedsstandarder, identificere kritiske open source-aktiver, der bør opfylde de strengeste sikkerhedskrav, og fremme en fælles national indsats for at udvide færdighedstræning og uddannelse i open source-sikkerhed og belønne udviklere, der gør vigtige fremskridt i marken,” sagde Thomas.
Walker fremhævede arbejdet i organisationer som OpenSSF – som Google investerede $100 millioner i – som allerede søger at skabe standarder som denne.
Google | Enterprise Software | Linux | Udvikler | Sikkerhed