谷歌刚刚推出了专门的安全和支持团队,极大地推动了开源软件。“开源维护团队”将是一个新的开发团队,将致力于与开源项目相关的安全问题,例如配置更新。
该公告是在白宫开源安全峰会上发布的,谷歌加入了开源安全基金会(OpenSSF)和Linux基金会,讨论围绕开源安全的问题。
早在2021年12月,在发现Apache流行的开源Java日志框架Log4j中的Log4Shell漏洞后,白宫国家安全顾问JakeSullivan就致信美国科技公司的CEO。
根据微软的一篇博文,该漏洞被用于安装恶意软件、进行加密、将设备添加到Mirai和Muhstik僵尸网络、释放CobaltStrike信标、扫描信息泄露或在受影响的网络中横向移动。
“保护开源软件的问题不仅仅是钱,对于许多关键的开源项目来说,这与参与的人数以及他们可以在工作上花费多少时间有关,”开源安全首席工程师说。谷歌,阿布舍克·艾莉亚。
“即使有更多的资金,我们也需要有能力将资金用于正确的目标。这是一个人的问题,也是一个钱的问题。”
他补充说:“为了有意义地应对这一挑战,谷歌为‘开源维护团队’提供了资源,其理念是像OpenSSF这样的实体可以管理该团队并充当关键项目的媒人。”
此举是因为开源采用正在IT社区内建立势头和支持,在线协作等用例推动了它的普及。
最近由OpenLogic进行的2022年开源状态报告对2,660名使用开源工具的专业人士及其组织进行了调查,发现超过四分之一(27%)的人表示他们对此类工具完全没有保留,而只有13.9%的人对此表示担忧关于他们是不安全和未经测试的。
标签: