Skrevet af Chris Duckett, APAC-redaktør 
Chris startede sit journalistiske eventyr i 2006 som redaktør for Builder AU efter oprindeligt at komme til CBS som programmør. Efter et ophold i Canada vendte han tilbage i 2011 som redaktør for TechRepublic Australia og er nu australsk redaktør for ZDNet.
Fuld bio den 16. januar 2022 | Emne: Sikkerhed
Billede: Getty Images
Det har været et par interessante uger i krydset mellem Open Source Avenue og Cybersecurity Way, først med situationen omkring Log4j, og så i denne uge fik en JavaScript-udvikler nok og blev rouge.
Undskyld mig, mens jeg holder meget fast i dette sæt perler, da udtrykket open source-sårbarhed bruges, for hvor det ser ud til, at regeringer mener, at der er et presserende cyberproblem, er det oftere et finansielt spørgsmål.
Især som et enkeltmandsprojekt er det fantastisk at skabe under en open source-licens, når du starter, og det bliver knap bemærket, og dine brugere og andre udviklere kan hjælpe med at gøre softwaren bedre. Men når multinationale selskaber og regeringer frigør det, har jeg en vis sympati for en udvikler, der beslutter at støtte Fortune 500-virksomheder gratis er en bro for langt.
Mens metoden til at injicere en uendelig løkke og zalgo-tekst måske er blevet tilberedt, hvilken anstændig størrelse organisation trak ned og eksekverede kode uden enten at inspicere den eller køre den i et testmiljø først? Det er ærgerligt, at en række Node.js-apps faldt om, men heldigvis gjorde den ikke noget ondsindet.
Berørte organisationer bør betragte dette som et gratis cyber- og softwareforsyningskædetjek i stedet for at råbe endnu mere af en udvikler, der er færdig med at blive råbt af.
Der er en grund til, at XKCD 2347 har modtaget en større træning end normalt i de seneste måneder, og det er fordi den afslører sandheden i sagen.
“Jeg arbejdede for Linux Foundation på Core Infrastructure Initiative, der understøtter OpenSSL og andre projekter,” siger en kommentar på det relevante Explain XKCD-websted.
“Den, der skræmte mig, var Expat XML-parseren, der blev vedligeholdt af to personer på skiftende søndag eftermiddage, forudsat at der ikke var andre distraktioner. Vi fik midler til en testpakke.”
Jeg har ringe grund til at tvivle på denne kommentar, for det er sådan de stakke, der driver det moderne internet, faktisk fungerer. Dybt i hver stak er en weekendafhængighed.
Mens tech-giganterne håver milliarder ind hvert kvartal, er der et eller andet sted et velbrugt bibliotek, der ikke modtager en krone fra disse industrititaner. Det er ikke ulovligt, men det er lidt rigt fra virksomhedernes side at udnytte gratis arbejdskraft som denne.
På dette tidspunkt tænkte jeg, at en analogi om en bilproducent, der bruger frivillig arbejdskraft til at fremstille bildele, ville være passende, men så indså jeg, at med alle de bilunderholdningssystemer skal der være nogle open source-biblioteker eller applikationer derinde et sted. Sådan er 2020'ernes verden.
I sidste uge nåede debatten det punkt, hvor det blev stemplet som et “nationalt sikkerhedsproblem” i USA, og Google og IBM ønskede en liste over kritiske open source-projekter. Selvom begge virksomheder har været blandt de bedste virksomheders tilhængere og finansierere af open source, bør denne liste virkelig lægges direkte ind i deres respektive regnskabssystemer, og der skal foretages tilstrækkelige betalinger hver måned.
Desværre har tiderne i krydset mellem Open Source Avenue og Cybersecurity Way en følelse af gentagelse.
Det var næsten otte år siden under Heartbleed-fejlen, at OpenSSL sagde, at det var på tide, at store brugere stoppede op og hjælper med at finansiere projekter.
På det tidspunkt havde OpenSSL en fuldtidsansat, og en strøm af donationer i ugen efter havde kun indbragt 9.000 USD.
“Det kræver stålnerver at arbejde i mange år på hundredtusindvis af linjer med meget kompleks kode, hvor hver linje kode du rører ved er synlig for verden, vel vidende at koden bruges af banker, firewalls, våbensystemer, websteder, smartphones, industri, regering, overalt. Velvidende, at du vil blive ignoreret og ikke værdsat, indtil noget går galt,” sagde OpenSSL Software Foundations præsident, Steve Marquess.
“Kombinationen af personligheden til at håndtere den slags pres med de relevante tekniske færdigheder og erfaring til effektivt at arbejde på sådan software er en sjælden handelsvare, og dem, der har det, vil sandsynligvis allerede være værdsat, velbelønnet og nidkært bevogtet ressource fra en eller anden virksomhed eller værdig sag.”
OpenSSL ville i sidste ende få nogle midler fra Core Infrastructure Initiative, som ville blive afløst af Open Source Security Foundation, men jeg tvivler på, at nogen af disse to organisationer ville have betragtet et node.js-modul eller en Java-logningsramme som kritisk infrastruktur, der er finansieret og revision.
Finansieringen skal gå ud over blot udtrykket “kritisk” og bevæge sig mere i retning af “udbredt brugt, men underfinansieret”, for med den rette sårbarhed kan ethvert tidligere uskadeligt stykke software pludselig blive kritisk.
ZDNET'S MANDAG MORGEN ÅBNER
Mandag Morgen Åbner er vores åbningssalve for ugen inden for teknologi. Da vi driver et globalt websted, udgives denne redaktion på mandag kl. 8:00 AEST i Sydney, Australien, hvilket er 18:00 Eastern Time på søndag i USA. Et medlem skriver det fra ZDNets globale redaktion, som består af vores ledende redaktører på tværs af Asien, Australien, Europa og Nordamerika.
TIDLIGERE PÅ MANDAG MORGEN ÅBNER:
Nyt år, nyt job: Teknologiens opsigelser er på vej, så gør dig klar Ikke et token yderligere: Kunne tilbageslag anspore måder at bringe krypto-cowboys på hæld?
Fjernarbejdsjob: 5 problemer vi skal løse i 2022Vulkandrevet Bitcoin City kunne være Bond-skurk eller tilstanden i 2021
Konglomerater er døde, men teknologigiganter er konglomerater under træning. Storbritanniens røde telefonbokse er ved at forsvinde. Men nogle får et nyt liv Når metaverset kommer, er der få gode muligheder for, hvem der skal styre det
Hvorfor din næste bærbare computer bliver 16-tommer Fysiske webcam-covers er ikke inkluderet ved store udgifter til en ny MacBook Pro eller Dell XPSDeveloper færdigheder har ændret sig. Men de fleste virksomheder har endnu ikke lagt mærke til Asynkrone videoer: Kan TikTok-generationen redde os fra at møde overbelastning?
Hunker ned: Chipmanglen og højere priser er indstillet til at blive ved i et stykke tid. | Sikkerheds-tv | Datastyring | CXO | Datacentre